MANUAL MANEJO
para el de la
EVIDENCIA
DIGITAL
El presente manual ha sido elaborado con nes académicos y en ningún momento podrá ser utilizado para explotación comercial. El contenido puede ser consultado como consulta siempre y cuando se cite a los autores y a la Universidad Autónoma de Colombia que apoyo este proyecto, cualquier modi cación o aporte debe ser consultado y autorizado por los autores y por la Universidad Autónoma de Colombia. Este documento conserva lo establecido en la ley colombiana en cuanto la protección y derechos de autor. Por tanto, cualquier delito de plagio, copia parcia o total puede conllevar a la sanción que la Ley Colombiana establezca.
Los autores Jhon Leonardo Orrego Pinzón Jlop_00@hotmail.com Jonathan Vargas Roa santuron@gmail.com Director del Proyecto Henry Cortes Contraras Henry.cortes@fuac.edu.co
MANUAL PARA MANEJO DE LA EVIDENCIA DIGITAL Universidad Autónoma de Colombia Facultad de Ingeniería de Sistemas
Realizado por: Jhon Leonardo Orrego Pinzón y Jonathan Vargas Roa Revisión y Correción: Henry Cortés Contreras Diseño y Diagramación: Lorena Vargas Roa Ilustraciones: Karen Andrea Fique Martínez
Bogotá-Colombia 2017
TABLA DE CONTENIDO
Lista de Figuras..........................................................................................................................................................5 Lista de Tablas............................................................................................................................................................6 Glosario y Términos..................................................................................................................................................7 Siglas y Abreviaturas................................................................................................................................................14 Introducción.............................................................................................................................................................16 Frases del Proceso de Investigación.......................................................................................................................18 Relatar Hechos..........................................................................................................................................................23 Sistema de Computo........................................................................................................................................23 Dispositivo de Almacenamiento....................................................................................................................27 Dispositivo de Mano........................................................................................................................................30 Dispositivos Periféricos...................................................................................................................................34 Dispositivos Redes de Computo.....................................................................................................................36 Identi car Evidencias Digitales..............................................................................................................................40 Aplica para todos los Dispositivos.................................................................................................................40 Dispositivos de Cómputo........................................................................................................................................42 Dispositivo de Almacenamiento....................................................................................................................46 Dispositivo de Mano........................................................................................................................................51 Dispositivos Periféricos...................................................................................................................................52 Dispositivos Redes de Computo.....................................................................................................................53 Recolectar y Embalar Evidencias Digitales............................................................................................................55 Aplica para todos los Dispositivos.................................................................................................................55 Sistemas de Computo......................................................................................................................................69 Dispositivos de Almacenamiento..................................................................................................................71 Dispositivo de Mano........................................................................................................................................72 Dispositivos Periféricos.................................................................................................................................. 74 Dispositivos Redes de Computo....................................................................................................................75 Analizar y Documentar Evidencias Digitales.......................................................................................................76 Aplica para todos los Dispositivos ................................................................................................................76 Presentación de las Evidencias Digitales...............................................................................................................86 Aplica para todos los Dispositivos.................................................................................................................86 Network Forensic.....................................................................................................................................................90 Aplica para todos los Dispositivos.........................................................................................................................90 Bibliografía................................................................................................................................................................98
LISTA DE FIGURAS
Figura 1. Robo de Computadores...........................................................................................................................23 Figura 2. Delincuente Disfrazado Roba Computador..........................................................................................24 Figura 3. Robo de Informaciรณn Sensible................................................................................................................25 Figura 4. Robo de Informaciรณn Sensible................................................................................................................25 Figura 5. Intimidaciรณn por Correos Electrรณnicos y Mensajes de Texto en Dispositivos Mรณviles................... 26 Figura 6. Robo de Informaciรณn por Medio de Dispositivos de Almacenamiento Externo............................. 27 Figura 7. Delincuente Roba Computadoras..........................................................................................................28 Figura 8. Robo de Dispositivo de Almacenamiento.............................................................................................28 Figura 9. Dispositivos de Almacenamiento Perdidos por Descuido..................................................................29 Figura 10. Posibles Lugares en donde se pueden Ocultar los Dispositivos de Almacenamiento....................29 Figura 11. Robo Telรฉfono Mรณvil............................................................................................................................. 30 Figura 12. Manipulaciรณn por un Desconocido a un Dispositivo Mรณvil.............................................................31 Figura 13. Me estรกn Robando Informaciรณn Remotamente..................................................................................31 Figura 14. Robo de Informaciรณn por Bluetooth....................................................................................................32 Figura 15. Me estรกn Espiando................................................................................................................................. 32 Figura 16 Bloqueo de Dispositivo Mรณvil................................................................................................................33 Figura 17 Robo de Informaciรณn Impresa...............................................................................................................34 Figura 18 Manipulaciรณn Sospechosa del Fax.........................................................................................................35 Figura 19. Envรญo de Correo que Contiene de Informaciรณn Falsa........................................................................36 Figura 20. Pรกginas Web Falsas (Phishing).............................................................................................................36 Figura 21. Pรกginas Web Falsas.................................................................................................................................36 Figura 22. Imagen de Correo Adjunto................................................................................................................... 37 Figura 23. Persona utiliza Redes Sociales y se Comunica con un Intruso simulando un Per l que no es real..............................................................................................................................................................................37 Figura 24. Personas no Autorizadas Ingresan a su Red Inalรกmbrica Privada....................................................38 Figura 25. Diagrama de Examinaciรณn y Recolecciรณn de Informaciรณn...............................................................59 Figura 26. Empaques Utilizados para el Embalaje de la Evidencia Digital.......................................................67 Figura 27. Empaques Blindados............................................................................................................................. 67 Figura 28. Identi car cada Componente que se Encuentre Conectado a una Computadora y Rotule el Ordenador todos los Cables y las Conexiones Correspondientes...................................................................... 68 Figura 29. Proceso en un Entorno de Red............................................................................................................. 92
LISTA DE TABLAS
Tabla 1. Casos por país de Ciberdelincuencia......................................................................................................21 Tabla 2. Centros de coordinación de atención a incidentes a nivel mundial de Seguridad Informática.......61 Tabla 3. Técnicas para la Examinación de Evidencias Digitales.........................................................................66 Tabla 4. Función de las Herramientas Forenses...................................................................................................95 Tabla 5. Herramientas Forenses I...........................................................................................................................95 Tabla 6. Herramientas Forenses II.........................................................................................................................96
GLOSARIOS DE TÉRMINOS ADMISIBILIDAD: Carácter de una demanda judicial que hace posible su examen a fondo por la jurisdicción a que se ha acudido ( Enciclopedia jurídica, s.f.). ADN: Proteína compleja que se encuentra en el núcleo de las células y constituye el principal constituyente del material genético de los seres vivos (oxforddictionaries, s.f.). AISLAMIENTO FARADAY: Se conoce como aislamiento de Faraday al efecto por el cual el campo electromagnético en el interior de un conductor en equilibrio es nulo, anulando el efecto de los campos externos. Esto se debe a que, cuando el conductor está sujeto a un campo electromagnético externo, se polariza, de manera que queda cargado positivamente en la dirección en que va el campo electromagnético, y cargado negativamente en el sentido contrario (Krauss, 1992). ALMACENAMIENTO EXTERNO: Se entiende cualquier formato de almacenamiento de datos que no está jo de modo permanente dentro del equipo. Las ventajas residen en su facilidad de transporte derivadas de su rápido acceso, larga vida útil, poco tamaño y peso (Secretaría de Cultura y Educación, 2011). AMENAZA: Cualquier factor externo de riesgo con potencial para provocar daños sociales, ambientales y económicos en una comunidad durante determinado periodo de tiempo (SALUD EN EMERGENCIAS Y DESASTRES, s.f.). ANTIVIRUS: Un antivirus es un programa informático que tiene el propósito de detectar y eliminar virus y otros programas perjudiciales antes o después de que ingresen al sistema (de nicionabc.com, s.f.). ANTRÓPICAS O GENERADAS POR LA ACTIVIDAD HUMANA: Sucesos como incendios, explosiones, contaminaciones, accidentes del transporte masivo, entre otros (SALUD EN EMERGENCIAS Y DESASTRES, s.f.). ARCHIVING DE DATOS: El archiving de datos es el proceso de identi cación y movimiento de datos inactivos fuera de los sistemas de producción actuales y hacia sistemas de almacenamiento de archiving a largo plazo especializados http://colombia.emc.com/corporate/glossary/data-archiving.htm . (DELL EMC, s.f.). ATAQUE: Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera) (Wikipedia, s.f.). ATAQUES DDOS: Ataque al servidor desde muchos ordenadores para que deje de funcionar (Gembeta, s.f.). BACKDOOR O PUERTA TRASERA: Es un método para eludir los procedimientos habituales de autenticación al conectarse en una computadora. Una vez que el sistema ha sido comprometido, puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro de los atacantes. Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, permaneciendo ocultos ante posibles inspecciones, utilizando troyanos, gusanos u otros métodos (Wikipedia, s.f.). BASE DE DATOS: Conjunto completo de cheros informáticos que reúnen informaciones generales o temáticas, que generalmente están a disposición de numerosos usuarios (Manual de Manejo de Evidencias Digitales y Entornos Informáticos, s.f.) BLUETOOTH: Una especi cación tecnológica para redes inalámbricas que permite la transmisión de voz y datos entre distintos dispositivos mediante una radiofrecuencia segura (Pérez Porto). BOTNETS: Son redes de computadoras infectadas, también llamadas zombies , que pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques contra organizaciones. En una Botnet cada computadora infectada por el malware se loguea en un canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultáneamente. Las botnets también pueden ser usadas para actualizar el malware en los sistemas infectados manteniéndolos así resistentes ante antivirus u otras medidas de seguridad (core one, s.f.). BROWSER (BUSCADOR): El so ware para buscar y conseguir información de la red WWW. Los más comúnmente usados son Microso Explorer, Firefox y Opera (masadelante.com, s.f.). CADENA DE CUSTODIA: Procedimiento controlado que se aplica a los indicios materiales relacionados con el delito, desde su localización hasta su valoración por los encargados de su análisis (Wikipedia, s.f.). CD-ROM: Disco compacto de 12 cm de diámetro y gran capacidad de memoria que puede almacenar textos, sonidos, imágenes y otras informaciones que, mediante un dispositivo de lectura que utiliza el láser, pueden ser procesados y reproducidos en la computadora (oxforddictionaries,s.f.). CLAVES DE ACCESO RÍGIDA: Una clave de acceso es una combinación de letras, números y signos que debe teclearse para obtener acceso a un programa o partes de un programa determinado (Master Megazine, s.f.). CMOS: Familias lógicas empleadas en la fabricación de circuitos integrados (Wikipedia, s.f.).
COMERCIO ELECTRÓNICO: Abarca las cuestiones suscitadas por toda relación de índole comercial; sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda opresión comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda operación de representación o mandato comercial; todo tipo de operaciones nancieras, bursátiles y de seguros; de construcción de obras; de consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera (corte constitucional, s.f.). COMPONENTES LÓGICOS: Incluyen, entre muchos otros, las aplicaciones informáticas, tales como el procesador de texto, que permite al usuario realizar todas las tareas concernientes a la edición de textos; el llamado so ware de sistema (Wikipedia, s.f.). COOKIE: Es un archivo o datos dejados en su computadora por un servidor u otro sistema al que se hayan conectado. Se suelen usar para que el servidor registre información sobre aquellas pantallas que usted ha visto y de la información personalizada que usted haya mandado. Muchos usuarios consideran esto como una invasión de privacidad, ya que casi ningún sistema dice lo que está haciendo. Hay una variedad de "anti cookie" so ware que automáticamente borra esa información entre visitas a su sitio (Manual de Manejo de Evidencias Digitales y Entornos Informáticos, s.f.). COPIAS DE RESPALDO: También llamado backup (su nombre en inglés) en tecnologías de la información e informática es una copia de los datos originales fuera de la infraestructura que se realiza con el n de disponer de un medio para recuperarlos en caso de su pérdida. (Wikipedia, s.f.). DACTILOSCOPIA: Sistema de identi cación mediante la comparación de las huellas digitales (forodeseguridad, s.f.). DEFACEMENTS: Es una palabra inglesa que signi ca des guración y es un término usado en informática para hacer referencia a la deformación o cambio producido de manera intencionada en una página web por un atacante que haya obtenido algún tipo de acceso a ella, bien por algún error de programación de la página, por algún bug en el propio servidor o por una mala administración de este. El autor de un defacement se denomina defacer (Wikipedia, s.f.). DELITOS INFORMÁTICOS: Los delitos informáticos son todos aquellos actos que permiten la comisión de agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio del uso de las computadoras y a través del mundo virtual del internet (1) http://crimessystems.blogspot.es/ (myprofetecnologia.wordpress.com, s.f.). DESASTRE: Se trata de eventos adversos de mayor magnitud que las emergencias, por lo que superan la capacidad de respuesta de la comunidad afectada y exigen el apoyo externo, ya sea de otra región, jurisdicción o nivel gubernamental (SALUD EN EMERGENCIAS Y DESASTRES, s.f.). DIALUP (MARCAR): El método de conectarse con Internet vía la línea de teléfono normal mediante un modem, en vez de mediante una LAN (Red Local) o de una línea de teléfono alquilada permanentemente. Esta es la manera más común de conectarse a Internet desde casa si no ha hecho ningún arreglo con su compagina de teléfono o con un ISP. Para conexiones alternativas consulte con su ISP primero (Manual de Manejo de Evidencias Digitales y Entornos Informáticos, s.f.). DIGITAL SIGNATURE (FIRMA DIGITAL): El equivalente digital de una rma autentica escrita a mano. Es un dato añadido a un chero electrónico, diciendo que el dueño de esa rma escribió o autorizo el Archivo (Manual de Manejo de Evidencias Digitales y Entornos Informáticos, s.f.). DIRECCIÓN IP: Número que identi ca, de manera lógica y jerárquica, a una Interfaz en red (Wikipedia, s.f.) . DIRECCIONES MAC: Es el identi cador único asignado por el fabricante a una pieza de hardware de red (gnome help, s.f.). DMZ: El término zona desmilitarizada (DMZ, por sus siglas en inglés), aplicado a la seguridad informática procede probablemente de la franja de terreno neutral que separa a los países inmersos en un con icto bélico. Cuando ciertas máquinas de la red interna tienen que ser accesibles desde el exterior (servidor web, un servidor de mensajería, un servidor FTP público, etc.), normalmente es necesario crear una nueva política para una nueva red, accesible tanto desde la red interna como desde el exterior, sin correr el riesgo de comprometer la seguridad de la empresa (prezi, s.f.). DOCUMENTO ELECTRÓNICO: Es la representación en forma electrónica de hechos jurídicamente relevantes susceptibles de ser presentados en una forma humanamente comprensible (slideshare, s.f.). DOMAIN NAME (NOMBRE DE DOMINIO): Un nombre de dominio es su propiedad en el mundo cibernético. Esta propiedad, tal y como su homologo tangible, tiene valor dependiendo de su dirección y de su contenido. Usted puede cobrar a sus invitados o darles un tour gratis, o llevar un negocio paralelo como parte de la propiedad. Igual que una dirección de la 5 Avenida que es limitada y también más valorada que la inmensa mayoría de las demás direcciones, el valor de su dominio puede variar de unos cuantos dólares, por ejemplo, algunos están en el millón de dólares. No le podemos decir que muebles, obras de arte, o negocio paralelo debe tener en su propiedad en el mundo cibernético, pero su dirección es bien segura que realzara el valor de su contenido, o igual lo eliminara si ese nombre no atrae clientes. Técnicamente, es un concepto creado para identi car y localizar computadoras en Internet. Los nombres de dominio son un sistema de direcciones de Internet fácil de recordar, que pueden
ser traducidos por el Sistema de Nombres de Dominio a las 4 De nición dada por EDIFORUM. (Foro de Intercambio Electrónico de Datos) direcciones numéricas usadas en la red. Un nombre de dominio es jerárquico y usualmente acarrea información sobre el tipo de entidad que usa ese nombre de dominio. Un nombre de dominio es simplemente una etiqueta que representa un dominio, que a su vez es un subgrupo del total del espacio de nombres del dominio. Nombres de dominio en el mismo nivel jerárquico tienen que ser únicos: solo puede haber un .com al nivel más alto de la jerarquía, y solo un DomainMart.com en el siguiente nivel (Manual de Manejo de Evidencias Digitales y Entornos Informáticos, s.f.). DRIVE-BY DOWNLOADS: Son sitios que instalan spyware o códigos que dan información de los equipos. Generalmente se presentan como descargas que, de algún tipo, se efectúan sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de correo o al entrar a una ventana pop-up. El proceso de ataque Drive-by Downloads se realiza de manera automática mediante herramientas que buscan en los sitios web alguna vulnerabilidad e insertan un script malicioso dentro del código HTML (Wikipedia, s.f.). DUBITADO: El documento dubitado (dubitado, dudoso, cuestionado, de examen, etc.), es el objeto de pericia, para el análisis intrínseco, extrínseco y cotejo, para establecer la autenticidad o falsedad de este documento. Este documento es, en general, el iniciante de la causa judicial . DVD: Tipo de disco óptico para almacenamiento de datos (Wikipedia, s.f.). ELEMENTO MATERIAL PROBATORIO O EVIDENCIA FÍSICA: Es cualquier objeto relacionado con una conducta punible, que puede servir para determinar la verdad en una actuación penal (SCRIBD, s.f.). EMBALAR: Envolver o empaquetar un objeto o ponerlo en una caja para transportarlo con seguridad (oxforddictionaries, s.f.). EMERGENCIA: Es una alteración o daño de diverso tipo (a la salud, los bienes, el medio ambiente, etc.) que demanda respuesta inmediata de la comunidad afectada, causados por sucesos naturales, generados por la actividad humana o por la combinación de ambos, cuyas acciones de respuesta pueden ser manejadas con los recursos localmente disponibles (SALUD EN EMERGENCIAS Y DESASTRES, s.f.). ENCASE: Forensic es una poderosa plataforma de investigación que recolecta datos digitales, realiza análisis, informa sobre descubrimientos y los preserva en un formato válido a efectos legales y validado por los tribunales (Ondata, s.f.). ENCRIPTAR: Ocultar datos mediante una clave (funde BBVA, s.f.). ENTIDADES DE CERTIFICACIÓN: Es aquella persona que, autoriza conforme a la presente ley, está facultada para emitir certi cados en relación con las rmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de las transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las rmas digitales (corteconstitucional, s.f.). ESCENA DEL CRIMEN: Es todo espacio donde se halla elementos materiales probatorios y evidencia física y que estos tengan relación con el hecho en averiguación, ya sea este mueble, inmueble, abierto, cerrado, nave o aeronave o mixto (MONOGRAFIAS.COM, s.f.). ESPECTRO ELECTROMAGNÉTICO: Distribución energética del conjunto de las ondas electromagnéticas (Wikipedia, s.f.). EVIDENCIA DIGITAL: Se puede decir que el término Evidencia Digital abarca cualquier información en formato digital que pueda establecer una relación entre un delito y su autor. Desde el punto de vista del derecho probatorio, puede ser comparable con un documento como prueba legal (SCRIBD, s.f.). EXPLOIT: Es un fragmento de so ware, fragmento de datos o secuencia de comandos y/o acciones, utilizada con el n de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo (Wikipedia, s.f.). EXTRACCIÓN DE INFORMACIÓN: Es un tipo de recuperación de la información cuyo objetivo es extraer automáticamente información estructurada o semiestructurada desde documentos legibles por una computadora (Wikipedia, s.f.). FAT: Del inglés le allocation table), es un sistema de archivos desarrollado para MS-DOS, así como el sistema de archivos principal de las ediciones no empresariales de Microso Windows hasta Windows (Wikipedia, s.f.). FIREWALLS: Un cortafuego es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas (Wikipedia, s.f.). FIRMA DIGITAL: Una rma digital es un mecanismo criptográ co que permite al receptor de un mensaje rmado digitalmente determinar la entidad originadora de dicho mensaje (autenticación de origen y no repudio), y con rmar que el mensaje no ha sido alterado desde que fue rmado por el originador (integridad)Boris Balache et ali., "Trusted computing platforms. TCPA technology in context". Prentice Hall PTR 2003 https://es.wikipedia.org/wiki/Firma_digital (Wikipedia, s.f.). FIRMAS ELECTRÓNICAS: La rma electrónica es un concepto jurídico, equivalente electrónico al de la rma manuscrita, donde una persona acepta el contenido de un mensaje electrónico a través de cualquier medio electrónico válido. Ejemplos (Wikipedia, s.f.). : FTP O FILE TRANSFER PROTOCOL (PROTOCOLO DE TRANSFERENCIA DE FICHERO): Un estándar de Internet para transferir cheros entre ordenadores. La mayoría de las transferencias FTP requieren que usted se meta en el sistema proveyendo la información mediante un nombre autorizado de uso y una contraseña. Sin embargo, una variación conocida como "FTP anónimo" le permite meterse como anónimo: no necesita contraseña o nombre (Wikipedia, s.f.).
GESTIÓN DE RIESGO: Es la acción integral para el abordaje de una situación de desastre. Permite determinar los riesgos, intervenir para modi carlos, disminuirlos, eliminarlos o lograr la preparación pertinente para responder ante los daños que, sin duda, causará un determinado desastre SALUD EN EMERGENCIAS Y DESASTRES, s.f.). GNU: Es un sistema operativo de so ware libre (El sistema operativo GNU, s.f.). GOOGLE HACKING: Es una técnica en informática que utiliza operadores para ltrar información en el buscador de Google (Wikipedia, s.f.). HACKERS: Alguien que descubre las debilidades de un computador o de una red informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado de computadoras y de redes informáticas.1 Los hackers pueden estar motivados por una multitud derazones, incluyendo nes de lucro, protesta o por el desafío (Wikipedia, s.f.). HASH: Función computable mediante un algoritmo tal que: H: U M (Wikipedia, s.f.). HASHING: Una función de Hash es una caja negra que tiene como entrada una llave y como salida una dirección (Udlap, s.f.). HIJACKERS: Son programas que realizan cambios en la con guración del navegador web, cambiando la página de inicio por páginas con publicidad, pornográ cas u otros res direccionamientos con anuncios de pago o páginas de phishing bancario. Ésta es una técnica que suplanta al DNS, modi cando archivos hosts, para redirigir el dominio de una o varias páginas a otras, muchas veces una web falsa que imita a la verdadera. Comúnmente es utilizada para obtener credenciales y datos personales mediante el secuestro de una sesión (Jorge, s.f.). HONEPOTS: Se denomina honeypot al so ware o conjunto de computadores cuya intención es atraer al atacante, simulando ser sistemas vulnerables o débiles a los ataques (Expresion Binaria, s.f.). HTML (HYPER TEXT MARKUP LANGUAGE): El lenguaje de computador usado para crear páginas de red para Internet. Aunque estándares "o ciales" de Internet existen, en la práctica son extensiones del lenguaje que compañías como Netscape o Microso usan en sus buscadores (browsers) (Manual de Manejo de Evidencias Digitales y Entornos Informáticos, s.f.). HUELLAS DACTILARES: Es la impresión visible o moldeada que produce el contacto de las crestas papilares de un dedo de la mano (generalmente se usan el dedo pulgar o el dedo índice) sobre una super cie (Wikipedia, s.f.). IDE: Es una aplicación informática que proporciona servicios integrales para facilitarle al desarrollador o programador el desarrollo de so ware (Wikipedia, s.f.). INFORMÁTICA FORENSE: Mediante sus procedimientos se identi can, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal http://www.altonivel.com.mx/7102-que-es-la-informatica-forense.html (Altonivel, s.f.). INTERNET PROTOCOL (IP) NUMBERS O IP ADRESSES (PROTOCOLO DE INTERNET, NÚMEROS): Un identi cador numérico único usado para especi car an triones y redes. Los números IP son parte de un plan global y estandarizado para identi car computadores que estén conectados a Internet. Se expresa como cuatro números del 0 al 255, separado por puntos: 188.41.20.11. La asignación de estos números en el Caribe, las Américas, y África la hace la American Registry for Internet Numbers (Altonivel, s.f.). INTERNET SERVICE PROVIDER (ISP) (PROVEEDOR DE SERVICIO DE INTERNET): Una persona, organización o compagina que provee acceso a Internet. Además del acceso a Internet, muchos ISP proveen otros servicios tales como an trión de Red, servicio de nombre, y otros servicios informáticos (Wikipedia, s.f.). IOS: Es un sistema operativo móvil de la multinacional Apple Inc. Originalmente desarrollado para el iPhone (iPhone OS) (Wikipedia, s.f.). IRC: (Internet Relay Chat) Es un protocolo de comunicación en tiempo real basado en texto, que permite debates entre dos o más personas (Wikipedia, s.f.). ITER CRIMINIS: Es una locución latina, que signi ca «camino del delito», utilizada en Derecho penal para referirse al proceso de desarrollo del delito, es decir, las etapas que posee, desde el momento en que se idea la comisión de un delito hasta que se consuma. https://es.wikipedia.org/wiki/Iter_criminis (Wikipedia, s.f.). JUMPERS: Es un elemento que permite cerrar el circuito eléctrico del que forma parte dos conexiones (Wikipedia, s.f.), KEYLOGGERS Y STEALERS: Estos programas están encaminados al aspecto nanciero, la suplantación de personalidad y el espionaje. Los Keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para realizar operaciones fraudulentas como son pagos desde cuentas de banco o tarjetas de crédito. La mayoría de estos sistemas son usados para recopilar contraseñas de acceso, espiar conversaciones de chat u otros nes. Los Stealers también roban información privada pero sola la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados y si tienen contraseñas recordadas, por ejemplo, en los navegadores web la descifran (core one , s.f.). KNOPPIX: Es una distribución de GNU/Linux creada por Klaus Knopper. Está basada en Debían y actualmente por defecto utiliza LXDE como entorno de escritorio, aunque en el menú de arranque se puede especi car otro tipo de interfaz grá ca (Wikipedia, s.f.). LOG'S: Sistemas que generan una gran cantidad de datos en forma de trazas textuales (DBI, s.f.),
LOS RANSOMWARE: También llamados criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un rescate para poder recibir la contraseña que permite recuperar los archivos (DBI, s.f.). MALWARE: Es un tipo de so ware que tiene como propósito in ltrarse y dañar una computadora o sistema de información sin el consentimiento de los propietarios (Wikipedia, s.f.). MBR: Registro de arranque principal, conocido también como registro de arranque maestro (Wikipedia, s.f.). MEMORIA RAM: Memoria principal de la computadora, donde residen programas y datos, sobre la que se pueden efectuar operaciones de lectura y escritura (prezi, s.f.). .MEMORIA SD: Es un formato de tarjeta de memoria. Se utiliza en dispositivos portátiles tales como cámaras fotográ cas digitales, entre muchos otros (Wikipedia, s.f.). .MEMORIAS USB: Denominado también lápiz de memoria, lápiz USB, memoria externa, pen drive o pendrive es un tipo de dispositivo de almacenamiento de datos que utiliza memoria ash para guardar datos e información (MEMORIAS USB, s.f.). MENSAJES DE DATOS: La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos de datos (EDI), internet, el correo electrónico, el telegrama, mensajes de datos(SMS). Son el núcleo fundamental de la ley porque se convierten en otro medio jurídicamente valido de manifestar la voluntad y, por ende, de realizar cualquier actividad (Contratos). Su concepto legal Cfr. Ley 527 de 1999, artículo 2°, literal a). se redactó de manera que abarque los antiguos, actuales y futuros medios que permitan crear, archivar y comunicar información Libro – El peritaje Informático y la evidencia Digital en Colombia (Hostingred, s.f.). METADATOS: Grupo de datos que describen el contenido informativo de un objeto al que se denomina recurso (Wikipedia, s.f.). MIXTAS: Producto de un proceso natural modi cado por la actividad humana, como los deslizamientos por deforestación de las laderas, sequías, derrumbes por mala construcción de caminos, canales, viviendas, etc. (SALUD EN EMERGENCIAS Y DESASTRES, s.f.). MODEM: Un aparato que cambia datos del computador a formatos que se puedan transmitir más fácilmente por línea telefónica o por otro tipo de medio (MONOGRAFIAS.COM, s.f.). NATURALES: Son aquellas en los que no interviene la actividad humana, como sismos, erupciones volcánicas, algunos tipos de inundaciones, deslizamientos, entre otros (SALUD EN EMERGENCIAS Y DESASTRES, s.f.). NMAP: Es un programa de código abierto que sirve para efectuar rastreo de puertos escrito originalmente por Gordon Lyon (más conocido por su alias Fyodor Vaskovich[cita requerida]) y cuyo desarrollo se encuentra hoy a cargo de una comunidad (Wikipedia, s.f.). PERITAJE: Peritación, evaluación, valoración, estudio, informe, opinión http://www.wordreference.com/sinonimos/peritaje (WordReference, s.f.). PERITO JUDICIAL: Es un profesional dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores, que suministra información u opinión fundada a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen (Wikipedia, s.f.). PERITO: Es una persona reconocida como una fuente con able de un tema, técnica o habilidad cuya capacidad para juzgar o decidir en forma correcta, justa o inteligente le con ere autoridad y estatus por sus pares o por el público en una materia especí ca (Wikipedia, s.f.). PROXYS: Un proxy es un ordenador intermedio que se usa en la comunicación de otros dos. La información (generalmente en Internet) va directamente entre un ordenador y otro (Wikipedia, s.f.). PUERTOS USB: Es un puerto diseñado para conectar varios periféricos a una computadora. El puerto USB: Se encuentra en todas las computadoras modernas. Hay algunos conectores diferentes que se usan para conectar los dispositivos (Wikipedia, s.f.). RESQUET FOR COMMENTS (RFC): Son una serie de publicaciones del grupo de trabajo de ingeniería de internet que describen diversos aspectos del funcionamiento de Internet y otras redes de computadoras, como protocolos, procedimientos, etc. y comentarios e ideas sobre estos. https://es.wikipedia.org/wiki/Request_for_Comments (Wikipedia, s.f.). RIESGO: Remite a la probabilidad en una comunidad de sufrir daños sociales, ambientales y económicos, en determinado periodo de tiempo, en función de la amenaza y la vulnerabilidad. Una buena gestión del riesgo permite minimizar los potenciales daños, actuando oportunamente antes, durante y después de producido un desastre (SALUD EN EMERGENCIAS Y DESASTRES, s.f.). ROGUE SOFTWARE: Hacen creer al usuario que la computadora está infectada por algún tipo de virus u otro tipo de so ware malicioso, esto induce al usuario a pagar por un so ware inútil o a instalar un so ware malicioso que supuestamente elimina las infecciones, pero el usuario no necesita ese so ware puesto que no está infectado. ROOTKITS: Es un so ware que modi ca el sistema operativo de la computadora, para permitir que el malware permanezca oculto al usuario, evitando que el proceso malicioso sea visible en el sistema (Wikipedia, s.f.). ROUTERS: Es un dispositivo que proporciona conectividad a nivel de red o nivel tres en el modelo OSI. Su función principal consiste en enviar o encaminar paquetes de datos de una red a otra (Wikipedia, s.f.).
SCAMADVISER.COM es un sitio web gratuito que permite a las personas comprobar rápidamente un sitio web que están a punto de comprar algo. Permitir a los compradores en línea para averiguar los hechos que realmente deben saber antes de usar sus tarjetas de crédito. SCIPTKIDDIES: Este término viene de distintos foros informáticos y "Geek . Se popularizó entre foros de internet (Hacking, Programación, Juegos, Etc.) (Wikipedia, s.f.). SCSI: Es una interfaz de transferencia de datos en serie, sucesor del Small Computer System Interface (SCSI) paralelo, aunque sigue utilizando comandos SCSI para interaccionar con los dispositivos SAS (Wikipedia, s.f.). SERVICIO NTP: Es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través del enrutamiento de paquetes en redes con latencia variable (Wikipedia, s.f.). SHA1SUM: Es un comando de los sistemas Unix que permite identi car la integridad de un chero mediante la suma de comprobación del hash SHA-1 de un archivo. SHA1SUM es el nombre de un archivo que contiene las cadenas hash en SHA-1 para la posterior comprobación de integridad de una imagen ISO (Wikipedia, s.f.). SISTEMA DE INFORMACIÓN: Se entenderá como sistema de información, a todo sistema utilizado para generar, enviar, recibir, procesar o archivar de cualquier forma de mensajes de datos (SICE, s.f.). SISTEMA INFORMÁTICO: Conjunto organizado de programas y bases de datos que se utilizan para, generar, almacenar, tratar de forma automatizada datos o información cualquiera que esta sea (SUAREZ, s.f.). SISTEMA PENA ORAL ACUSATORIO: Es una Dirección Nacional creada mediante decreto 016 de 2014 y reglamentada por la resolución 00555 del 02 de abril de 2014 suscrita por el Fiscal General de la Nación concebida con el propósito principal de fortalecer el funcionamiento integral del sistema penal acusatorio y articular a la Fiscalía General de la Nación con las entidades que tengan incidencia en su labor misional http://www. scalia.gov.co/colombia/la-entidad/sistema-penal-oral-acusatorio/ (FISCALIA.GOV, s.f.). . SISTEMA TELEMÁTICO: Conjunto organizado de redes de telecomunicaciones que sirven para trasmitir, enviar, y recibir información tratada de forma automatizada. Manual de Manejo de Evidencias Digitales y Entornos Informáticos Manual de Manejo de Evidencias Digitales y Entornos Informáticos (Manual de Manejo de Evidencias Digitales y Entornos Informáticos, s.f.).. SISTEMAS DE CONTROL PARENTAL: Conjunto de órdenes y programas que controlan los procesos básicos de una computadora y permiten el funcionamiento de otros programas (PRENZI, s.f.). SOFTWARE: Conjunto de programas y rutinas que permiten a la computadora realizar determinadas tareas (PRENZI, s.f.). SOFTWARE MALICIOSO: Tipo de so ware que tiene como objetivo in ltrarse o dañar una computadora o Sistema de información sin el consentimiento de su propietario (Wikipedia, s.f.). SOPORTE LÓGICO: Cualquiera de los elementos (tarjetas perforadas, cintas o discos magnéticos, discos ópticos) que pueden ser empleados para registrar información en un sistema informático (Manual de Manejo de Evidencias Digitales y Entornos Informáticos, s.f.). SOPORTE MATERIAL: Es cualquier elemento corporal que se utilice para registrar toda clase de información (Manual de Manejo de Evidencias Digitales y Entornos Informáticos, s.f.). SPOA: Sistema de información de la Fiscalía General de la Nación para el Sistema Penal Oral Acusatorio (FISCALIS.GOV, s.f.). SWICHS: Es un dispositivo de propósito especial diseñado para resolver problemas de rendimiento en la red, debido a anchos de banda pequeños y embotellamientos (APRENDA REDES, s.f.). TABLA DE ARP: Protocolo de resolución de direcciones. En red de computadoras, el protocolo de resolución de direcciones (Wikipedia, s.f.). TCP/IP TRANSMISIÓN CONTROL PROTOCOL/INTERNET PROTOCOL: Conjunto de protocolos que hacen posible la interconexión y trá co de la Red (Wikipedia, s.f.). TIMELINE: Es una herramienta o característica de las plataformas virtuales de hoy día que permite que el usuario tenga una vista de tipo cronológico sobre las publicaciones realizadas por el resto de los usuarios (Wikipedia, s.f.). TIPIFICADO: Estandarizado, Homologado (WordReference, s.f.). TÍTULOS VALORES ELECTRÓNICOS: Articulo 619 del Código de Comercio – Los títulos valores son documentos necesarios para legitimar el ejercicio del derecho literal y autónomo que en ellos se incorpora. Pueden ser de contenido crediticio, corporativos o de participación, y de tradición o representativos de mercancías (SCRIBD, s.f.). TOOLKIT: kit de herramientas (SLOWROOM, s.f.). TROYANOS: Es un so ware malicioso que permite la administración remota de una computadora de forma oculta y sin el consentimiento del propietario. Generalmente están disfrazados como algo atractivo o inocuo que invitan al usuario a ejecutarlo. Pueden tener un efecto inmediato y tener consecuencias como el borrado de archivos del usuario e instalar más programas maliciosos. Son usados para empezar la propagación de un gusano, inyectándolo de forma local dentro del usuario (core one , s.f.).
UNAM-CERT: Equipo de Respuesta a Incidentes de Seguridad en Cómputo (UNIVERSIDAD NACIONAL AUTONOMA DE MEXICO, s.f.). VIRUS Y GUSANOS: Éstos, son los tipos más conocidos de so ware maligno que existen y se distinguen por la manera en que se propagan. El término de virus informático se usa para designar un programa que al ejecutarse se propaga infectando otro so ware ejecutable de la misma computadora. Pueden tener un playload que realice otras acciones maliciosas en donde se borran archivos. Los gusanos son programas que se transmiten así mismos, explotando vulnerabilidades en una red de computadoras para infectar otros equipos. Su principal objetivo, es infectar a la mayor cantidad posible de usuarios y también puede contener instrucciones dañinas al igual que los virus. A diferencia que los gusanos, un virus necesita la intervención del usuario para propagarse, mientras que los gusanos se propagan automáticamente . (Wikipedia, s.f.). VPN: Es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet . (Wikipedia, s.f.). VULNERABILIDAD: Es un factor interno de riesgo de una comunidad expuesta a una amenaza, en función de su predisposición a resultar dañada. Existe en la medida en que se haga o deje de hacer algo: la ubicación geográ ca de las ciudades, la calidad de la construcción de las viviendas, el nivel de mantenimiento en todo tipo de servicios públicos, el tipo de producción económica, el grado de organización social, la capacidad de gestión, etc. (SALUD EN EMERGENCIAS Y DESASTRES, s.f.).
SIGLAS Y ABREVIATURAS ARP: Address Resolution Protocol, protocolo de comunicaciones de la capa de enlace . (Wikipedia, s.f.).
CSIRT: Equipos de Respuestas ante Incidentes de Seguridad (en inglés, Computer Security Incident Response Team) (LINGUEE, s.f.).
BIA: Agencia de Información y Seguridad (Wikipedia, s.f.).
DANE: Departamento Administrativo Nacional de Estadística (DANE, s.f.).
BIOS: Basic Input/Output System Sistema Básico de Entrada/Salida" (Wikipedia, s.f.).
DDOS: Distributed Denial of Service ataque distribuido denegación de servicio (Gembeta, s.f.).
BIT: Binary digit dígito binario (Wikipedia, s.f.).
DHCP: Dynamic Host Con guration Protocol protocolo de con guración dinámica de host" (Wikipedia, s.f.).
C.P.P: Código de Procedimiento Penal . (codigo_de_procedimien to_penal, s.f.). CAINE: Computer Aided Investigative Enviroment Entorno de Investigación Asistido Por Computadora (Wikipedia, s.f.). CCC: Convenio sobre Ciberdelincuencia del Consejo de Europa (Comision de Regulacion de Comunicaciones, s.f.). CCIT: Cámara Colombiana de Informática y Telecomunicaciones (ccit, s.f.). CCOC: Comando Conjunto Cibernético del Comando General de las Fuerzas Militares de Colombia .CCP: Centro Cibernético Policial de la Policía Nacional de Colombia (Comando General, s.f.). CICTE: Comité Interamericano Contra el Terrorismo de la OEA (OEA, s.f.).
DNI: Departamento Administrativo Dirección Nacional de Inteligencia (DNI, s.f.). DNP: Departamento Nacional de Planeación (DNP, s.f.). ECV: Encuesta de Calidad de Vida del DANE (DANE, s.f.). EF:EVIDENCIA FISICA (PREZI, s.f.). EMP: ELEMENTO MATERIALES PROBATORIOS . (PREZI, s.f.). ICIC: Instituto de Ciencias e Ingeniería de la Computación (CONICET, s.f.). IDS: SISTEMA DE DETECCION DE INTRUSOS . (Wikipedia, s.f.).
CNUDMI: Comisión de Naciones Unidas para el Derecho Mercantil Internacional (UNCITRAL, s.f.).
IMEI: del inglés International Mobile Station Equipment Identity, identidad internacional de equipo móvil (Wikipedia, s.f.).
COLCERT: Grupo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT, s.f.).
IMSI: International Mobile Subscriber Identity Identidad Internacional del Abonado a un Móvil (Wikipedia, s.f.).
CONPES: Consejo Nacional de Política Económica y Social de Colombia (Departamento Nacional de Planecaion, s.f.).
INTERPOL: Organización Internacional de Policía Criminal (Wikipedia, s.f.).
CPU: Central Processing Unit Unidad de Procesamiento Central (Wikipedia, s.f.).
ISSN: International Standard Serial Number, Número Internacional Normalizado de Publicaciones Seriadas (Wikipedia, s.f.).
CRC: Comisión de Regulación de Comunicaciones de Colombia (CRC, s.f.).
ITI: Consejo mundial de la industria de tecnologías de la información (en inglés, Information Technology Industry Council) (ITI, s.f.).
MACD: Moving Average Convergence Divergence Convergencia /Divergencia del Promedio Móvil (Wikipedia, s.f.).
PIN: Personal Identi cation Number Número de identi cación personal (Wikipedia, s.f.).
MEGC: Modelo de Equilibrio General Computable (Wikipedia, s.f.).
SPOA: sistema de información de la Fiscalía General de la Nación para el Sistema Penal Oral Acusatorio (MINTIC, s.f.).
MINTIC: Ministerio de Tecnologías de la Información y las Comunicaciones (MINTIC, s.f.).
TIC: Tecnologías de la Información y las Comunicaciones (FISCALIA, s.f.)
MIPYMES: Micro, Pequeñas y Medianas empresas (CEPAL, s.f.).
UIAF: Unidad de Información y Análisis Financiero de Colombia (UIAF, s.f.).
MSISDN: Mobile Station Integrated Services Digital Network, estación móvil de la Red Digital de Servicios Integrados . (MINTIC, s.f.). NIDS: Network Intrusion Detection System: Sistema de detección de intrusos en una Red (Wikipedia, s.f.). NIST: National Institute of Standards and Technology Instituto Nacional de Normas y Tecnología (Wikipedia, s.f.). NT FS: New Technology File System es un sistema de archivos de Windows NT incluído en las versiones de Windows NT 3.1, Windows NT 3.5, Windows NT 3.51, Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008, Windows Vista, Windows 7, Windows 8 y Windows 10 (Wikipedia, s.f.). OCDE: Organización para la Cooperación y Desarrollo Económico (OCDC, s.f.). OEA: Organización de Estados Americanos (OEA, s.f.). O N T I : O c i n a N a c i o n a l d e Te c n o l o g í a s d e l a Información (OFICINA NACIONAL DE TECNOLOGIA DE LA INFORMACION, s.f.). OTAN: Organización del Tratado del Atlántico Norte (Wikipedia, s.f.). PDA: personal digital assistant, asistente digital personal, computadora de bolsillo, organizador personal o agenda electrónica de bolsillo (Wikipedia, s.f.).
PIB: Producto Interno Bruto (Wikipedia, s.f.).
UIT: Unión Internacional de Telecomunicaciones (ITU, s.f.). USB: (Universal Serial Bus) .US-CERT: United States Computer Emergency Readiness Team Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (Wikipedia, s.f.). VENCERT: Es el Sistema Nacional de Gestión de Incidentes Telemáticos de la República Bolivariana de Venezuela (VENCERT.GOB, s.f.).
INTRODUCCIÓN
En Colombia no contamos con instrumentos o herramientas que nos indiquen cómo manipular y qué acciones tomar con las Evidencias Digitales cuando suceden hechos que perjudican a la sociedad como el robo o adulteración de información. Es por ello, que se ha creado este documento para que personas del común sin ningún tipo de conocimiento técnico tomen las medidas necesarias y se prevengan de posibles situaciones cotidianas que pueden presentársele y donde estén involucrados dispositivos electrónicos que puedan contener evidencias digitales y permitan resolver un caso por un delito cometido. El objetivo de este manual es prestar un apoyo a través de recomendaciones, videos e imágenes a los usuarios inexpertos y sin conocimientos, que puedan entender más acerca del manejo de la Evidencia Digital en entornos tanto hogareños como grandes organizaciones ya que varias ocasiones no se cuenta con el debido conocimiento acerca del tema. El manual fue elaborado en Microso Word y diagramado en Indesing; posteriormente fue cargado a la herramienta web llamada ISSU, con el propósito de visualizar su contenido en forma amena y entretenida. Dentro de él se van a encontrar hipervínculos a otros contenidos, imágenes y videos que servirán como complemento al tema indicado. La fuente de información utilizada para la elaboración de este manual fue en su mayoría organizaciones que van en contra de la ciberdelincuencia, quienes se preocupan por elaborar guías técnicas para que los profesionales, técnicos y organizaciones gubernamentales puedan implementar y así prevenir estos ataques que hoy en día son más frecuentes En la primera parte se describe las fases del proceso de investigación y está tomada del Manual de Procedimientos de Cadena de Custodia; muestra los primeros procesos que hace la Policía Judicial (desde llegar al sitio y tomar las precauciones para que no contaminen las posibles evidencias que hay en el sitio). Posteriormente se Relatan Hechos ocurridos para cada uno de los tipos de dispositivos; este capítulo les ayuda a las personas a tomar las diferentes precauciones. Se describen casos comunes que se presentan en el momento menos esperado, se relatan mecanismos de prevención, la forma cómo debemos actuar y preservar la escena de los hechos. En la Actividad Identi car Evidencias, se describe la forma cómo se identi ca la Evidencia Digital; está orientado al personal técnico o especializado encargado de realizar esta labor. En él se describen las herramientas que comúnmente son utilizadas para esta labor y se referencian los formatos y documentos que deben aplicarse de acuerdo a las normas técnicas y legales aprobadas en Colombia. Para continuar se Recolectan y se Embalan Evidencias Digitales, se describen los pasos para la Identi cación de la Evidencia Digital de acuerdo a la tipicidad del caso, se describen recomendaciones antes de Identi car y Recolectar cualquier Evidencia Digital que se encuentre, se realiza pasos para la revisión previa antes de Identi car el elemento para un entendimiento más acerca de situaciones que se pueden presentar con los Dispositivos de Computo, Dispositivos de Almacenamiento, Dispositivos de Mano, Dispositivos Periféricos, Dispositivos redes de Computo. Analizar y Documentar Evidencias Digitales Las fases de analizar y documentar. están orientadas al personal técnico o especializado donde una vez que se dispone de las Evidencias Digitales recopiladas y almacenadas de forma adecuada, se pasa a la fase quizás más laboriosa, el Análisis Forense propiamente dicho, cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque o timeline, determinando la cadena de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque, hasta el momento de su descubrimiento. Este análisis se dará por concluido cuando se conozca cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc.
La Presentación del Informe Pericial, donde se expone el análisis realizado a la Evidencia Digital, técnica aplica y resultado de la técnica; lo anterior es traducido a un lenguaje de comprensión de los Fiscales, Abogados y Jueces presentes en el estrado Judicial. Todos estos procesos en los cuales es sometida la Evidencia Digital se pueden encontrar con los siguientes delitos Revelación de secretos, espionaje industrial y con dencialidad¨ Delitos económicos, societarios o contra el mercado o los consumidores Delitos contra la propiedad intelectual e industrial Vulneración de la intimidad Sabotaje Uso indebido de equipos Amenazas, calumnias e injurias Cumplimiento de obligaciones y contratos Piratería Informática Pornografía Infantil
Para nalizar se ha tratado un capítulo especial de las Redes Forenses (Network Forensic) El concepto de Redes Forenses se ocupa de los datos encontrados en una conexión de red, principalmente el trá co de entrada y salida de un An trión a otro. La red forense analiza los datos de trá co registrados a través de rewalls o sistemas de detección de intrusos o en redes, dispositivos como enrutadores, servidores, enrutadores inalámbricos. El objetivo es rastrear hasta la fuente de la ataque para que los ciberdelicuentes sean procesados. El análisis forense1de la red se de ne en como "el uso de Técnicas probadas para recopilar, fusionar, identi car, examinar, correlacionar, Analizar y documentar la Evidencia Digital de múltiples procesamientos y transmisión de fuentes digitales con el n de descubrir hechos relacionados con la intención plani cada, o Actividades no autorizadas destinadas a alterar, corromper y / o comprometer los componentes del sistema, así como 2
proporcionar para ayudar en respuesta o recuperación de estas actividades "Ranum se acredita con la de nición de forenses de la red como"el Captura, registro y análisis de eventos de red con el n de Descubrir la fuente de los ataques de seguridad". Red forense Consiste en supervisar el trá co de la red y determinar si hay un Anomalía en el trá co y determinar si indica un ataque. Si es así, también se determina la naturaleza del ataque. El trá co de red es capturado, conservado, analizado y un incidente Respuesta se invoca inmediatamente. La siguiente URL explica cómo se debe utilizar el Manual para el manejo de la Evidencia Digital: https://www.powtoon.com/online-presentation/fFi3MSJtUv3/?mode=movie
1 Palmer, G. 2001. A Road Map for Digital ForensicResearch, 1st Digital Forensic Research Workshop, (NewYork, 2001), 15-30. 2 Ranum, M. Network Flight Recorder, http://www.ranum.com/
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Frases del proceso de investigación
Tipo de Evidencia
EMP o EF
Versión
1
Fecha
17 de Octubre de 2017
1.
2.
Reporte de Iniciación - articulo 205 del C. P. P
Fuentes no formales.
Actividad realizada por La Policía Judicial que consiste en diligenciar el reporte de la noticia criminal en forma inmediata a la Fiscalía General de la Nación por cualquier medio de comunicación disponible, dejando constancia del mismo en el Formato Reporte de Iniciación (Ver Anexo No 1 Del Manual Policía Judicial Pág. 57). Se recibe el juramento del denunciante en el Formato de Noticia Criminal (Anexo No 3 Del Manual Policía Judicial Pág. 70-80) el cual contiene los requisitos de forma y detalle de la denuncia. En el caso que el denunciante aporte elementos físicos encontrados en el lugar del incidente, el Policía judicial o técnico asignado iniciara el diligenciamiento de la cadena de custodia en el formato denominado Registro de Cadena de Custodia (Ver Anexo No 4 Del Manual Policía Judicial Pág. 81-83) y a elaborar el inventario de los elementos hallados en el lugar del incidente.
Concepto: Es la información de la que se pueda inferir una conducta punible, obtenida a través de informantes, escritos anónimos, llamadas telefónicas, las que provenga del espectro electromagnético, noticias difundidas a través los medios de comunicación y las demás que lleguen a conocimiento de las autoridades. Analizada y veri cada la información el servidor de Policía Judicial procede a diligenciar el Formato Especial para Fuentes no Formales (Anexo No 5 Del Manual Policía Judicial Pág. 84-85) iniciando inmediatamente la indagación, la cual reporta según el caso al Fiscal correspondiente o a las O cinas de Asignaciones de la Fiscalía General de la Nación; posteriormente dentro de las treinta y seis (36) horas siguientes rinde el Informe Ejecutivo. En todo caso compete al scal el archivo de las diligencias.
3. Ánalisis del lugar de los hechos.
Nota: La denuncia se podrá ampliar cuando el denunciante o técnico asignado lo estime conveniente de acuerdo a la investigación. Anexo No 4.1 Ampliación de la denuncia.
Cuando se procede al análisis en el lugar de los hechos se puede encontrar dos tipos de componentes: Componentes Físicos: Son todos aquellos componentes físicos que hallados en la escena del crimen se puedan clasi car como Elementos Materia Probatoria (EMP) o Elementos Físicos (EF), también son todos aquellos dispositivos electrónicos que encontrados en el lugar de los hechos (Ver Anexo G) Componentes Lógicos: Son aquellos que se encuentran en medios de almacenamiento o en dispositivos electrónicos. (Ver Anexo G) Esta actividad implica las siguientes etapas:
18
7.
4.
Señalización y numeración de los EMP
Información y veri cación del hecho.
Todos y cada uno de los EMP y EF encontrados, se señalizan con indicadores o numeradores de evidencia, utilizando un sistema numérico, alfabético o alfa numérica, de acuerdo al método de exploración seleccionado. El número con el cual se identi que el EMP y EF, será el mismo durante el proceso penal y valido únicamente para cada caso en particular.
Conocida la información respecto a la ocurrencia de un hecho, el servidor de policía judicial o quien haga sus veces, se trasladará al sitio, con el objeto de veri car lo sucedido, y constatará que la información conocida por el Primer Respondiente quede registrada en el respectivo formato (Formato de Actuación Primer Respondiente) Se debe de tener en cuenta que en el lugar de los hechos se pueden encontrar evidencias físicas y lógicas es importante que todas estas evidencias queden registradas en el formato del primer respondiente (Formato de Actuación Primer Respondiente)
8. Documentación del Lugar de los Hechos. Es la descripción y registro del Lugar de los Hechos, a través de medios técnicos como: imágenes fotográ cas, videos, planos topográ cos entre otros, con la nalidad de jar el estado en que se encontró. Esta puede ser:
5. Protección, preservación y entrega del Lugar de los hechos La primera autoridad interviniente (Policía Nacional, Policía Judicial o la autoridad que actúe en ausencia de estas), inicia los procedimientos de cadena de custodia; por lo tanto, protegerá el Lugar de los Hechos permitiendo el acceso únicamente al equipo de la Policía Judicial que lo procesará o manejará. En el acta de inspección se deja constancia de la entrega que hace el primer respondiente a la Policía Judicial, como soporte de la cadena de custodia. Ver Procedimiento Protección, Preservación y Entrega del Lugar de los Hechos.
8.1 Documentación Fotográ ca y / o Videografía El servidor responsable debe conservar en documentos una escena, para su posterior observación, reconocimiento y análisis; por lo tanto documentará visual y progresivamente el Lugar de los Hechos, pasando de los aspectos generales a los particulares y viceversa, utilizando testigo métrico e imágenes: panorámicas (larga distancia), planos generales (campo abierto, vía pública o recinto cerrado), plano medio, primero y primerísimos planos; paneo ascendente, descendente y horizontal, zoom in, zoom Out, imágenes desde el punto de vista del testigo, del occiso y de sábana de los EMP y EF recolectados. Solicita además al laboratorio de fotografía, la transferencia de la grabación del formato original al utilizado o requerido, es to según los recursos disponibles; luego lo deja disposición de la autoridad competente. Las películas, rollos y fotografías obtenidas se embalan, rotulan y y conservan bajo los procedimientos de cadena de custodia. También diligencia la Ficha Técnica Fotográ ca (Anexo No. 8 Del Manual policía Judicial Pág. 97)
6. Observación del Lugar de los Hechos. La primera inspección realizada al Lugar de los Hechos es la oportunidad más relevante para la observación, reconocimiento y recuperación de los EMP y EF, es la principal fuente de información que nos aproxima a la realidad de lo sucedido Para su análisis el servidor responsable elabora un plan, determinando el método más adecuado a seguir según el terreno: búsqueda de punto a punto, por sector o cuadrante, de círculos concéntricos o espiral, por franjas o líneas, por cuadrícula o rejilla. Ver Procedimiento Observación y Análisis del Lugar de los Hechos .
19
8.2 Fijación Topográ ca. Consiste en el registro correlacionado de los EMP y EF en el lugar de los hechos, a través de dibujos, mapas, croquis y diagramas y la relación de estos, con el autor (es) o partícipe (s) del ilícito, para demostrar la ocurrencia del mismo. El servidor encargado efectúa el registro topográ co, en lo posible en el Formato estandarizado de Dibujo Bosquejo Topográ co (Anexo No. 9 Del Manual policía Judicial Pág. 99). El servidor diligencia también el Formato Dibujo Topográ co (Anexo No. 10 Del Manual policía Judicial Pág.100). En el mundo existen casos sobre delincuentes que saben utilizar herramientas que les ayudan a dañar información o robar información etc., a continuación, se anexa un cuadro con los más destacados casos sobre la inseguridad que existe en el mundo de la informática:
20
Tabla 1 Casos por país de Ciberdelincuencia PAÍS
CASOS
España
Estados Unidos
Colombia
Money Mules
DESCRIPCIÓN El día miércoles 21 de octubre del presente año, un total de 22 mercenarios informáticos fueron capturados por el Centro Cibernético Policial de la DIJIN de la Policía en Bogotá, sindicados por una millonaria defraudación a una reconocida empresa parte del Sistema General de Pensiones (COLPENSIONES).
Operación Manchester
La Dirección de Investigación Criminal e INTERPOL a través del Centro Cibernético Policial capturó en las últimas horas en el municipio de Caldas, Antioquia, a alias 'grindnoise1' o 'gemido ruidoso' sindicado del delito de pornografía infantil con menor de 18 años
Operación Darkode
En una operación liderada por el FBI y apoyada por el European Cibercrimen Centre (EC3) junto con la Dirección de Investigación Criminal e INTERPOL (DIJIN) de la Policía Nacional de Colombia y otras agencias de Ley en el ámbito internacional dieron de baja al más prolí co foro de cibercriminalidad que ha podido existir: Darkode. En una acción internacional conjunta en contra de este foro de HACKING y de sus participantes
RECEPCIÓN
https://caivirtual.policia. gov.co/ciberseguridad/ casos-operativos/moneymules
http://www.ccp.gov.co/ ciberseguridad/casosoperativos/operacionmanchester
http://www.ccp. gov.co/ciberseguridad /casos-operativos/ operacion-darkode
Millonario fraude
En la ciudad de Barranquilla, el Centro Cibernético Policial de la DIJIN captura organización delincuencial dedicada a realizar defraudaciones millonarias a través de medios informáticos a diferentes entidades nancieras
http://www.ccp.gov. co/ciberseguridad/ casos-operativos /op-pasarela-ii-0
Atrapados en la Red
Internet se ha convertido en la herramienta perfecta para los pederastas. Ya no tienen que acudir a parques y piscinas para saciar sus obsesiones,
https://www.youtube. com/watch v=t75Z rhhe5a0
Junio 04 de 2015 - Piratas cibernéticos ingresaron preHackers consiguen sumiblemente desde China en los sistemas de la o cina robar datos de más de personal del gobierno de Estados Unidos y robaron cuatro millones de información de identidad de al menos cuatro millones empleados federales de empleados federales, dijeron funcionarios el Jueves.
http://www.univision. com/noticias/hackersconsiguen-robardatos-de-mas-cuatromillones-deempleados-federales
Los 3 Hackers Más Grandes De La Historia
Describe como realizan sus ataques a través de la red Hackers
La Ciberdelincuencia 575.000 millones de dólares, el PIB de un país medio mueve ya más dinero que el narcotrá co en el mundo
https://www.youtube. com/watch v=FY8Z KKzTcE4
http://www.abc.es/ espana/20141207/ abci-ciberdelincue ncia-dinero-2014120 62106.html
Fuente: La información fue extraída y resumida de los links que aparecen en la columna 4 denominada Referencia
La tabla contiene casos acerca de delitos informáticos en varios países como Estados Unidos, España, Francia, Gran Bretaña, Venezuela, Argentina, Chile, México. 21
Tabla 1 Casos por país de Ciberdelincuencia
México
Chile
Argentina
Venezuela
Gran Bretaña
Francia
PAÍS
CASOS
Piratas informáticos yihadistas atacaron el canal TV5 Monde
DESCRIPCIÓN
El canal internacional francés TV5 Monde fue pirateado a gran escala por hackersyihadistas supuestamente pertenecientes a la organización Estado Islámico (EI), informó la propia cadena.
Pérdida de datos de mitad de los ingleses abre Pérdida de datos de mitad de los ingleses abre debate debate sobre sobre seguridad en Gran Bretaña seguridad en Gran Bretaña 22 Nov 07
Un estudio cuestiona el sistema electoral venezolano a partir de 2004
Las dudas sobre la victoria del chavismo en el referéndum revocatorio presidencial de 2004, unos comicios convocados para determinar si Hugo Chávez seguía o no en el poder, han sido el punto de partida de una investigación de la Universidad Carlos III de Madrid (UC3M).
Delitos informáEntrevista a un experto en Ciberseguridad desde ticos en el 2015Diego Migliorisi - Argentina Migliorisi Abogados
Reportan que "hackers" intervinieron página del Ministerio de Defensa
Los autores de la intervención, que afecta al home del sitio web de esa cartera, dejaron un mensaje y una imagen.
Ecatepec, Méx. La Policía Federal puso en marcha un programa de concienciación y enseñanza en materia Ponen en marcha de ciberseguridad para niños y adolescentes programa Ciberseguridad en todo el país, con la nalidad de disminuir México 2017 "las afectaciones asociadas al uso de Internet y las nuevas tecnologías"
RECEPCIÓN
http://www.elcolombiano. com/piratas-informati cos-yihadistas-atacaron -el-canal-tv5-mondeFM1680689
http://www.eltiempo. com/archivo/documen to/CMS-3826728
http://www.agenciasinc. es/Noticias/Un-estudiocuestiona-el-sistemaelectoral-venezolano-apartir-de-2004
https://www.youtube. com/watch v=DaU1 VrLV9Qo
Fuente: Emol.com http://www.emol.com/ noticias/tecnologia/2015 /02/23/705033/hackeo. html
https://www.gob.mx/policia federal/articulos/policia-fed eral-impulsa-la-campanaciberseguridad-mexico2017
Fuente: La información fue extraída y resumida de los links que aparecen en la columna 4 denominada Referencia
La tabla contiene casos acerca de delitos informáticos en varios países como Estados Unidos, España, Francia, Gran Bretaña, Venezuela, Argentina, Chile, México.
22
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Relatar Hechos
Tipo de Evidencia
SISTEMA DE COMPUTO
Versión
1
Fecha
17 de Octubre de 2017
1. Sistemas de Cómputo 1.1. Descripción General Sistemas de Computo (ver Anexo A) 1.2. Descripción Especi ca Sistemas de Computo (ver Anexo A) 1.3. Posibles pruebas de Evidencias Digitales (ver Anexo A) 1.4. Posibles Situaciones o Escenarios 1.4.1. Robo de Computadoras
Para apoyo de este caso puede consultar los siguientes videos: https://www.youtube.com/watch v=b8sVN3eE1dg https://www.youtube.com/watch v=FJnmvIFUJeA
1.4.1.1.2
Prevenciones al denunciante
1.4.1.
Contar con cámaras de seguridad en lugares estratégicos. Disponer de guayas de seguridad para proteger los computadores de escritorio y portátiles. Tener una clave de acceso rígida para inicio de sesión de usuario. Contar con un so ware que ayude a Cifrar la información relevante que contenga el equipo de cómputo. Tener copias de respaldo en medio de almacenamiento externo. https://www.veracrypt.fr/en/Beginner%27s%20Tutorial.html Tener copias de respaldo en medio de almacenamiento externo
Robo de Computadoras El robo de computadores de escritorio y/o portátiles es frecuente tanto en casas como en centros comerciales debido a su pequeño tamaño y su gran valor comercial los ladrones están al asecho y se aprovechan de cualquier descuido para hurtarlos.
1.4.1.1.
Caso A. Roban computadoras en locales comerciales 1.4.1.1.1
1.4.1.1.3 Recomendaciones al momento de presentarse el hecho
DESCRIPCIÓN: Este Hurto se presenta normalmente cuando no se cuenta con una buena seguridad de estos equipos y existe un descuido por parte de los dueños en los locales comerciales.
Cuando suceda este tipo de caso tenga en cuenta lo siguiente: Disponer en forma actualizada de los documentos (factura de compra, manuales) que contengan: serial, marca, modelo de los elementos hurtados. Mantener restringido el acceso al área del lugar donde sucedieron los hechos ya que en el sitio se puede encontrar huellas dactilares o elementos asociados al hurto (manchas de sangre, cabello, celulares, llaves, etc.) que puedan contribuir en la búsquedadelsospechoso. En caso de algún incidente procure llamar a la policía (123) y realzar la denuncia en el siguiente link: http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_ CIUDADANO/Documentos_extraviados/atencion_documentos _extraviados
Figura 1. Robo de Computadores
Fuente propia
23
Caso B. Caso B. Delincuente disfrazado de empleado roba un computador
1.4.1.2.3 Recomendaciones al momento de presentarse del hecho
1.4.1.2.1
Cuando suceda el caso mencionado tenga en cuenta lo siguiente:
DESCRIPCIÓN: La persona ingresa a una o cina haciéndose pasar por un aseador y en el momento menos inesperado se roba un computador o pórtatil que está a su alcance.
Disponer en forma actualizada de los documentos (factura de compra, manuales) que contengan: serial, marca, modelo de los elementos hurtados. Mantener restringido el acceso al área del lugar donde sucedieron los hechos ya que en el sitio se puede encontrar huellas dactilares o elementos asociados al hurto (manchas de sangre, cabello, celulares, llaves, etc.) que puedan contribuir en la búsqueda del sospechoso. En caso de algún incidente procure llamar a la policía (123) y realizar la denuncia en el siguiente link: http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_ CIUDADANO/Documentos_extraviados/atencion_documentos _extraviados
1.4.1.2
Figura 2. Delincuente disfrazado roba computador
1.4.2
Robo de información sensible 1.4.2.1
Caso A. Robar información con
dencial en una Organización
Fuente propia
1.4.2.1.1 DESCRIPCIÓN: En su organización o empresa puede verse afectado con la pérdida de información que usted considera valiosa y/o privada tales como: Números de Cuentas Bancarias, fotos íntimas, fórmulas para la preparación de sus productos entre otros, dicha información pude tener interés particulares o destructivos ya que esta puede ser vendida a terceros o utilizada con nes delincuenciales.
Para apoyo de este caso puede consultar el siguiente video: https://youtu.be/TAbeaw5kmXk
1.4.1.2.2
Prevenciones al denunciante Contar con cámaras de seguridad en lugares estratégicos. Disponer de guayas de seguridad para proteger los computadores de escritorio y portátiles. Tener una clave de acceso rígida para inicio de sesión de usuario. Contar con un so ware que ayude a encriptar la información relevante que contenga el equipo de cómputo. Tener copias de respaldo en medio de almacenamiento externo.
Nota: Este tipo de hurto puede ser utilizado para cometer un segundo ilícito contemplado en Colombia mediante la Resolución 3 1273 de 2009 promulgó la Ley denominada De la Protección de la información y de los datos":
24
3 Ver Resolución: Alcaldía de Bogotá
De los atentados contra la con dencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos
1.4.2.1.3
Artículo 269A – Acceso Abusivo a un Sistema Informático. Artículo269B–Obstaculización ilegitima de Sistema Informático Artículo 269C – Intercepción de datos Informáticos. Artículo 269D - Daño Informático. Artículo 269E – Uso de So ware malicioso. Artículo 269F – Violación de datos personales. Artículo 269G – Suplantación de Sitios WEB para capturar datos. Artículo 269H – Circunstancias de Agravación punitivita. Artículo 269I – Hurto por medios Informáticos y Semejantes. Artículo 269J – Transferencia no consentida de activos.
Cuando suceda el caso mencionado tenga en cuenta lo siguiente
Recomendaciones al momento de presentarse el hecho
Llamar a la Policía a la línea (123) y realizar la denuncia el en siguiente link: http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDADANO/Documen tos_extraviados/atencion_documentos_extraviados.
Alertar a la organización de la posible pérdida de la información. No manipular el área del lugar del hecho ya que en el sitio se puede encontrar huellas dactilares o elementos que puedan contribuir en búsqueda del sospechoso. Posteriormente colocar una denuncia ante la policía en la página www.policiajudicial.com y suministrar la información de modo, tiempo y lugar del hecho Veri car las cámaras de seguridad Si se encuentra algo en el sitio no manipularlo y esperar que un experto haga su debido tratamiento.
Figura 3. Robo de información sensible
1.4.3
Extorsiones y Amenazas al denunciante y/o su familia 1.4.3.1
Caso A. Una organización planea lanzar sus productos para impulsar las ventas, pero la competencia obtiene esa información previa y la utiliza para cometer ilícitos
Fuente propia
Video explicación de los Delitos Informáticos: https://youtu.be/zFzNNc79Ndw
1.4.3.1.1
1.4.2.1.2 Prevenciones al denunciante
DESCRIPCIÓN: Este caso sucede cuando la información con dencial o secreta (estrategia para la venta de un producto) es sustraída de la organización para ser utilizada con nes ilícitos (venderla a terceros)
Mantener siempre con contraseñas de inicio los equipos de cómputo para cada sesión de usuario. Contar con un so ware que sirva para encriptar la información sensible. Realizar copias de respaldo de la información en equipos alternos o medio de almacenamiento externos. Mantener actualizado su sistema operativo ya sea Windows 8, 10, iOS, Linux. Contar con programas de seguridad que lo protejan de las amenazas que puedan presentarse en el equipo.
Figura 4 Robo de información sensible
Fuente propia
Cómo apoyo a la descripción de este caso puede consultar los siguientes links. 25
https://www.youtube.com/watch?v=yHOymwvbX1U
1.4.3.2
1.4.3.1.2
Caso Sospechoso intimida por medio de de Correos Electrónicos
Prevenciones al denunciante
y Mensajes de Texto
Si se encuentran dispositivos sospechosos comuníquese con un experto (En Colombia hay un Grupo de Respuesta a Emergencias Cibernéticas de Colombia, encargada de indicarnos los trámites 4 que debemos hacer). Toda compañía que tenga equipo que disponga de información con dencial deben contar con un programa para reconocimiento de dispositivos externos que permitan su autenti cación. Los puertos USB deben ser bloqueados en los equipos que manejen información importante.
1.4.3.2.1 DESCRIPCIÓN: Una persona de una organización muy importante recibe correos electrónicos y mensajes de texto Intimidantes lo cual compromete su integridad moral y física. Figura 5. Intimidación por Correos Electrónicos y Mensajes de Texto en dispositivos móviles.
1.4.3.1.3
Recomendaciones al momento de presentarse el hecho Cuando suceda el caso mencionado tenga en cuenta lo siguiente: Si encuentra dispositivos sospechosos comuníquese con un experto (En Colombia hay un Grupo de Respuesta a Emergencias Cibernéticas de Colombia, que indican los trámites que deben realizarse.) Evite manipular cualquier dispositivo de almacenamiento puede contener evidencias físicas o digitales que puedan contribuir para el desarrollo del caso . No permita que personas involucradas inter eran en la escena de crimen. Disponer en forma actualizada de los documentos (factura de compra, manuales) que contenga: serial, marca, modelo de los elementos hurtados. No manipular el área del lugar del hecho ya que en el sitio se puede encontrar huellas dactilares o elementos que puedan contribuir en búsqueda del sospechoso. En caso de algún incidente procure llamar a la policía a la línea (123) y realizar la denuncia el en siguiente link: https://webrp.policia.gov.co:444/publico/constancia.aspx
Fuente propia
1.4.3.2.2
Prevenciones al denunciante: No responda ningún correo de personas desconocidas. No elimine el correo el cual está comprometiendo la integridad moral y física. Pida ayuda a expertos acerca de delitos informáticos.
B: 1.4.3.2.3 Recomendaciones al momento de presentarse el hecho En caso de algún incidente procure llamar a la Policía a la línea (123) y realizar la denuncia en el siguiente link: http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDA DANO/Documentos_extraviados/atencion_documentos_extraviados
26
4 Grupo de Respuesta a Emergencias Cibernéticas de Colombia Colcert
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Relatar Hechos
Tipo de Evidencia
DISPOSITIVO DE ALMACENAMIENTO
Versión
1
Fecha
17 de Octubre de 2017
2. Dispositivos de Almacenamiento 2.1. Descripción general del dispositivo hallado (Ver Anexo B) 2.2. Descripción especi ca de los dispositivos Almacenamiento (ver Anexo B) 2.3. Posibles pruebas de Evidencias Digitales (Ver Anexo B) 2.4. Posibles Situaciones o Escenarios
2.4.1.1.2 Prevenciones al denunciante Toda compañía que cuente con un equipo de cómputo donde tengan información con dencial debe contar con un programa para reconocimientos de dispositivo externos que permita su autenti cación . Los dispositivos USB deben ser bloqueados en los equipos de cómputo que contienen información con dencial. Deben existir programas de autorización de impresión. Sustituir la clave normal por huella digital o registro de pupila. Tener cámaras de seguridad. Debe existir un lugar de acceso restringido donde ingresen las personas que pueden tener autorización para consultar la información reservada. Programas que guarden todas las operaciones que se realizan en el equipo.
2.4.1. Pérdida de información El uso de dispositivos de almacenamiento externo (dispositivos móviles, DVD, CD, memorias USB.) puede ocasionalmente generar riesgos para la entidad al ser conectados a los computadores, ya que son susceptibles de transmisión de virus informáticos o pueden ser utilizados para la extracción de información no autorizada.
2.4.1.1. Caso A. El intruso se lleva información importante utilizando un dispositivo de almacenamiento.
2.4.1.1.3 Recomendaciones al Momento de Presentarse el hecho
2.4.1.1.1 Si se encuentran dispositivos sospechosos comuníquese con un experto (En Colombia hay un Grupo de Respuesta a Emergencias Cibernéticas de Colombia,5 encargado de indicarnos los trámites que debemos hacer).
DESCRIPCIÓN: Se encontraban el supervisor de la empresa y un empleado el cual esperó que se retirara el supervisor para poder ingresar a un computador que contenía información con dencial y extraerla por medio de un dispositivo de almacenamiento externo por ejemplo USB.
Evite manipular cualquier dispositivo de almacenamiento puede contener evidencias físicas como huellas.
Figura 6. Robo de Información por medio de dispositivos de almacenamiento externos
No permita que personas involucradas inter eran en la escena de crimen.
Fuente propia
Cómo apoyo a la descripción de este caso puede consultar el siguiente video: https://youtu.be/Z31FSgZdSzA
27
5 Grupo de Respuesta a Emergencias Cibernéticas de Colombia Colcert
2.5.2
2.4.1.2
Robo del dispositivo de almacenamiento.
Caso B. El intruso o delincuente se lleva los equipos de cómputo que contienen información con dencial.
Avisar a las autoridades competentes y suministrar la información de los posibles causantes, si se cuenta con cámaras de seguridad esperar indicaciones del personal experto, no manipular sin tener conocimiento estas cámaras ya que se puede alterar evidencia.
2.4.1.2.1 DESCRIPCIÓN: Los empleados de la compañía tenían como labor terminar un informe con la información de la empresa, donde utilizan para ello la base de datos de los clientes potenciales, mientras salieron a almorzar, dejaron la puerta abierta de la o cina abierta, en esos momentos una persona desconocida toma el equipo y sale de la empresa sin autorización llevándose el equipo de cómputo.
2.5.2.1 Caso A. Se tiene guardado bajo seguro, información en medio digital y se pierde, encontrando la cerradura forzada.
2.5.2.1.1
Figura 7 Delincuente roba computadoras
DESCRIPCIÓN: Tenían guardado en el escritorio información en un dispositivo de almacenamiento y cuando se veri có estaba en el lugar acostumbrado y la cerradura estaba forzada. Figura 8 Robo de dispositivo de almacenamiento
Fuente propia
Cómo apoyo a la descripción de este caso puede consultar el siguiente video: https://www.youtube.com/watch v=EOYQofwpAGI&feature=youtu.be
2.4.1.2.2
Fuente propia
Prevenciones al denunciante 2.5.2.1.2 Prevenciones al denunciante
Mantener los equipos asegurados con guaya de seguridad. Asegurar los equipos en sitios bajo llave que solo lo conozca la persona que lo manipula. Disponer de personal de vigilancia que cuiden sectores especí cos o sensibles. Mantener la información importante encriptada.
Si se maneja información importante asegurarla en caja fuerte o sitios donde solo la puedan tener acceso a personas autorizadas. Tener copias de respaldo de información relevante. Mantener la información encriptada o con contraseñas de acceso. Tener cámaras de seguridad.
2.4.1.2.3 Recomendaciones al momento de presentase el hecho
2.5.2.1.3 Recomendaciones al momento de presentarse el hecho
Disponer en forma actualizada de los documentos (factura de compra, manuales) que contengan: serial, marca, modelo de los elementos hurtados. Mantener restringido el acceso al área del lugar donde sucedieron los hechos ya que en el sitio se puede encontrar huellas dactilares o elementos asociados al hurto (manchas de sangre, cabello, celulares, llaves, etc.) que puedan contribuir en la búsqueda del sospechoso.
No manipular el área del lugar del hecho ya que en el sitio se puede encontrar huellas dactilares o elementos que puedan contribuir en búsqueda del sospechoso. Posteriormente colocar una denuncia ante la policía y suministrar la información de modo tiempo y lugar del hecho Veri car las cámaras de seguridad No manipular la escena de los hechos y esperar que un experto realice esta labor.
Posteriormente colocar una denuncia ante la policía y suministrar la información de modo tiempo y lugar del hecho. 28
2.5.2.2 Caso B. Se perdió el dispositivo de almacenamiento digital con información con dencial. 2.5.2.2.1 DESCRIPCIÓN: Se perdió el dispositivo de almacenamiento en el cual se tenía información importante. Figura 9 Dispositivos de almacenamiento perdidos por descuido
Figura 10 Posibles Lugares en donde se pueden ocultar los dispositivos de Almacenamiento
Fuente propia
2.5.2.2.2
Prevenciones al denunciante Realizar copias de respaldo de la información. Mantener la información encriptada o con contraseñas de acceso.
2.5.2.2.3 Recomendaciones al momento de presentarse el hecho Mantener restringido el acceso al área del lugar donde sucedieron los hechos ya que en el sitio se puede encontrarhuellas dactilares o elementos asociados al hurto (manchas de sangre, cabello, celulares, llaves, etc.) que puedan contribuir en la búsqueda del sospechoso. Posteriormente colocar una denuncia ante la policía y suministrar la información de modo tiempo y lugar del hecho. Veri car las cámaras de seguridad, si encontramos algo. No manipular y esperar que un experto la manipule.
Fuente propia
Descripción: En el siguiente link se puede observar más formas de ocultar objetos: http://lavozdelmuro.net/24-ingeniosas-maneras-de-ocultar-el-dinero-y-lasjoyas-a-salvo-de-los-cacos/
Nota: Dispositivos de almacenamiento que se pueden encontrar en muchos lugares por eso es muy importante veri car el lugar de los hechos muy detalladamente.
29
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL
3. 3.1. 3.2. 3.3. 3.4.
Proceso
Cadena de Custodia
Actividad
Relatar Hechos
Tipo de Evidencia
DISPOSITIVO DE MANO
Versión
1
Fecha
17 de Octubre de 2017
Dispositivos de mano Descripción General Dispositivo de Mano (Ver Anexo C) Descripción Especi ca Dispositivos de Mano (ver Anexo C) Posibles pruebas de Evidencias Digitales (Ver Anexo C) Posibles Situaciones o Escenarios
3.4.1.1.2
Prevenciones al denunciante ·Tener copias de respaldo de la información. ·Mantener la información Cifrada o con contraseñas de acceso. ·Comuníquese con el proveedor de telefonía móvil para reportar su pérdida. ·Saber su número IMEI si este serial no se puede reportar para su bloqueo. ·Tenga en cuenta el siguiente manual Guía para proteger y usar de forma segura su móvil
3.4.1 Robo de nuestro dispositivo móvil Importante bloquear nuestro dispositivo lo antes posible recuerden que se puede bloquear comunicándose al operador de telefonía y dando el número IMEI que arroja recuerde que se puede visualizar con el código #06#
https://www.incibe.es/extfrontinteco/img/File/intecocert/Proteccion/u soseguromoviles.pdf
3.4.1.1
3.4.1.1.3 Recomendaciones al momento de presentarse el hecho
Caso A. Me atracaron y me robaron el teléfono móvil.
Comunicarse con su proveedor de telefonía e informar lo sucedido para que realicen el bloqueo del dispositivo móvil (Tener en cuenta su número IMEI). Colocar el correspondiente denuncio ante las autoridades correspondientes.
3.4.1.1.1 DESCRIPCIÓN: Cómo se puede bloquear el dispositivo móvil en caso de robo importante saber su número IMEI y avisar al operador de telecomunicaciones donde está registrada nuestra línea telefónica.
3.4.2
Figura 11 Robo Teléfono Móvil
Dispositivo móvil manipulado por un tercero. Se sospecha que nuestro dispositivo móvil fue manipulado y le sacaron información importante.
Fuente propia
Cómo apoyo a la descripción de este caso puede consultar el siguiente video: https://www.youtube.com/watch v=5aJ5f5Lx9sw
30
3.4.3
3.4.2.1
El dispositivo se está manipulando solo.
Caso A. Me entere que el dispositivo móvil fue manipulado.
Si se observa que el dispositivo móvil se está manipulando solo posiblemente está infectado y está siendo maniobrado desde otro lugar, es importante no asustarse en el momento y no apagar el dispositivo Móvil ya que se perdería la conexión con el delincuente, comuníquese rápidamente con el Centro Cibernético de la Policía e indique lo que está pasando, ellos enviarán un profesional el cual se hará cargo del caso.
3.4.2.1.1 DESCRIPCIÓN: Se sospecha que el dispositivo móvil fue maniobrado por otra persona ajena y se quiere veri car cuáles fueron los cambios que realizaron; lo más importante es no manipularlo ya que con cualquier movimiento las posibles evidencia o cambios registrados en el dispositivo se perderán, Es importante comunicarse con un especialista e indicarle lo sucedido, él sabrá en su momento que pruebas realizar.
3.4.3.1
Caso A Me están robando información remotamente. Figura 12 Manipulación por un desconocido a un dispositivo móviles.
3.4.3.1.1 DESCRIPCIÓN: Visualice su dispositivo móvil y veri que que se están realizando operaciones, indebidas en su celular. Figura 13 Me están robando información remotamente.
Fuente propia
3.4.2.1.2
Prevenciones al denunciante No dejar el dispositivo móvil descuidado Mantenerlo con contraseña de acceso Mantener la información importante Cifrada Tenga en cuenta el siguiente manual Guía para proteger y usar de forma segura su móvil Fuente propia
https://www.incibe.es/extfrontinteco/img/File/intecocert/Proteccion/u soseguromoviles.pdf
3.4.2.1.3 3.4.3.1.2
Recomendaciones al momento de presentarse el hecho
Prevenciones al denunciante No manipular el dispositivo móvil, puede tener huellas con las cuales se puede identi car el sospechoso. Comunicarse con las autoridades correspondientes e informar lo sucedido ellos sabrán los pasos a seguir. No manipularlo por ninguna circunstancia ya que se puede alterar evidencia.
· Mantener la información importante Crifada. · No dejar activo el bluetooth del móvil. · Solo acceder a redes inalámbricas propias o conocidas. ·Tenga en cuenta el siguiente manual Guía para proteger y usar de forma segura su móvil https://www.incibe.es/extfrontinteco/img/File/intecocert/Proteccion/usosegur omoviles.pdf
31
3.4.3.1.3 Recomendaciones al momento de presentarse el hecho
3.4.3.2.3 Recomendaciones al momento de presentarse el hecho
En caso de algún incidente procure llamar a la Policía a la línea (123) y realizar la denuncia en el siguiente link:
En caso de algún incidente procure llamar a la policía a la línea (123) y realizar la denuncia en el siguiente link:
http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDA DANO/Documentos_extraviados/atencion_documentos_extraviados
http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDA DANO/Documentos_extraviados/atencion_documentos_extraviados
No manipularlo por ninguna circunstancia podemos alterar evidencia muy importante.
Comunicarse con las autoridades correspondientes e informar lo sucedido ellos sabrán los pasos a seguir. No manipular el dispositivo mocil por ninguna circunstancia podemos alterar evidencia muy importante.
3.4.3.2
Caso B. Robo de información por Bluetooth 3.4.3.3 Caso C. Me están espiando.
3.4.3.2.1
3.4.3.3.1
DESCRIPCIÓN: Se conectaron a mi dispositivo por bluetooth y me sacaron información con dencial que tenía en el dispositivo móvil.
DESCRIPCIÓN: Consejos útiles de cómo se pueden evitar que nos espíen con virus o aplicaciones instaladas en nuestro dispositivo móvil.
Figura 14 Robo de Información por Bluetooth
Figura 15 Me están espiando
Fuente propia
Fuente propia
Cómo apoyo a la descripción de este caso puede consultar el siguiente video: https://www.youtube.com/watch v=RQAZQAuz3vs
Cómo apoyo a la descripción de este caso puede consultar el siguiente video: https://www.youtube.com/watch v=qDCFUZT_M_c
3.4.3.3.2
Prevenciones al denunciante
3.4.3.2.2
Prevenciones al denunciante: Mantener la información encriptada o con contraseñas de acceso. Mantenerlo con contraseña de acceso Solo acceder a redes inalámbricas propias o conocidas Si se encuentran aplicaciones que no fueran instaladas por nosotros, eliminarlas. Tener antivirus actualizados en nuestro dispositivo móvil No dar clic sobre enlaces desconocidos, estos pueden contener virus. Tenga en cuenta el siguiente manual Guía para proteger y usar de forma segura su móvil
Mantener la información importante encriptada. No dejar activo el bluetooth del dispositivo móvil. Activar el acceso con contraseña del bluetooth Tenga en cuenta el siguiente manual Guía para proteger y usar de forma segura su móvil https://www.incibe.es/extfrontinteco/img/File/intecocert/Proteccion/u soseguromoviles.pdf
https://www.incibe.es/extfrontinteco/img/File/intecocert/Proteccion/u soseguromoviles.pdf 32
3.4.3.3.3 Recomendaciones al momento de presentarse el hecho
Cómo apoyo a la descripción de este caso puede consultar los siguientes videos:
En caso de algún incidente procure llamar a la policía (123) y realizar la denuncia en el siguiente link:
https://www.youtube.com/watch v=7xUD0TGJMFs https://www.youtube.com/watch v=LtznRw75qHo https://www.youtube.com/watch v=qDCFUZT_M_c
http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDA DANO/Documentos_extraviados/atencion_documentos_extraviados
No manipular el dispositivo móvil ya que podemos alterar evidencia importante.
3.4.4.1.2
3.4.4
Mantener la información importante encriptada. Tener antivirus actualizados en nuestro dispositivo móvil No dar clic a enlaces desconocidos que nos envíen pueden contener virus. Tenga en cuenta el siguiente manual Guía para proteger y usar de forma segura su móvil
Prevenciones al denunciante
Dispositivo móvil bloqueado por so ware Los delincuentes por medios digitales están realizando infecciones a dispositivos electrónicos con la intensión de cobrar dinero por su desbloqueo, posiblemente puede ser el caso, cerciórese de que no manipuló archivos desconocidos y comuníquese con el Centro Cibernético de la Policía, él le indicare los pasos a seguir. Tenga encuentra que la manipulación indebida del dispositivo puede alterar las posibles pruebas.
https://www.incibe.es/extfrontinteco/img/File/intecocert/Proteccion/u soseguromoviles.pdf
3.4.4.1.3 Recomendaciones al momento de presentarse
3.4.4.1
Caso A. Mi dispositivo celular se quedó bloqueado y me sale un mensaje de policía interpol
En caso de algún incidente procure llamar a la policía (123) y realizar la denuncia en el siguiente link:
3.4.4.1.1
http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDA DANO/Documentos_extraviados/atencion_documentos_extraviados
DESCRIPCIÓN: Aparece en la pantalla del celular que mi teléfono fue bloqueado por razones de seguridad y todo el archivo fueron codi cados, no se puede acceder a mi información.
No manipular el dispositivo móvil por ninguna circunstancia debido a que se puede alterar la evidencia.
Figura 16 Bloqueo de Dispositivo Móvil
Fuente propia 33
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Relatar Hechos
Tipo de Evidencia
DISPOSITIVOS PERIFÉRICOS
Versión
1
Fecha
17 de Octubre de 2017
Figura 17 Robo de Información Impresa
4. Dispositivos Periféricos 4.1. Descripción General del Dispositivo Periférico (Ver Anexo D) 4.2. Descripción especi ca de los Dispositivos Periféricos (Ver Anexo D) 4.3. Posibles pruebas de Evidencias Digitales (Ver Anexo D) 4.4. Posibles Situaciones o Escenarios 4.4.1. Robo de información impresa de una compañía 4.4.1
Fuente propia
4.4.1.1.2
Robo de información impresa de una compañía
Prevenciones al denunciante Uno de los posibles robos de información de las compañías es de forma física, es decir imprimir archivos que no se puede obtener por medios magnéticos ya sea porque los equipos estén protegidos y no se puede acceder desde el dispositivo o porque estén deshabilitados para estas funciones, por eso la única forma de obtener la información es de forma impresa, hay que tener en cuenta que las impresoras guardan información y después de utilizarla se puede veri car que acciones fueron realizadas desde esta.
De nir privilegios de impresión al personal de la compañía. Acceso con contraseña a la impresora. Instalar so ware de apoyo para impresión así podemos controlar la cantidad de impresiones y restringir la información con dencial.
4.4.1.1.3 Recomendaciones al momento de presentarse el hecho
4.4.1.1 Caso A. El intruso se llevó información importante imprimiendo documentos con denciales de la compañía.
·En caso de algún incidente procure llamar a la Policía a la línea (123) y realizar la denuncia en el siguiente link:
4.4.1.1.1
http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDA DANO/Documentos_extraviados/atencion_documentos_extraviados
DESCRIPCIÓN: La compañía ha tomado precauciones y han bloqueado los dispositivos de USB para evitar el robo de información por este medio, pero no tomaron todas las medidas de seguridad y en un descuido un empleado de la compañía imprime material con dencial y se lo lleva.
No manipular la impresora por ninguna circunstancia podemos alterar evidencia muy importante.
34
4.4.2 Sustracción de información importante de la compañía desde un periférico (fax).
Lo periféricos contiene información que esta guardada en la memoria del estos y aunque la mayoría de personas desconoce qué información queda guardada es importante dar aviso en caso de que notemos movimientos sospechosos.
4.4.2.1 Caso A Manipulación sospechosa del Fax por personal externo de la compañía.
4.4.2.1.1. DESCRIPCIÓN: El empleado de una compañía nota movimientos extraños cerca de donde está ubicado el fax de la compañía es una persona externa que lo está manipulando y parece que está retirando información de este, la persona que lo observa desconoce que se puede sacar mucha información importante de este por eso no genera una alarma y tampoco da aviso a las autoridades correspondientes. Figura 18 Manipulación sospechosa del fax
Fuente propia
4.4.2.1.2 Prevenciones al denunciante Tener personal de vigilancia y cámaras en las áreas de la compañía Dar capacitación al personal de la compañía sobre posibles riegos de robo de información y otras actividades sospechosas.
4.4.2.1.3 Recomendaciones al momento de presentarse En caso de algún incidente procure llamar a la Policía a la línea (123) y realizar la denuncia en el siguiente link: http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDADANO/ Documentos_extraviados/atencion_documentos_extraviados.
No manipular el fax por ninguna circunstancia podemos alterar evidencia muy importante. 35
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL
5. 5.1 5.2 5.3 5.4
Proceso
Cadena de Custodia
Actividad
Relatar Hechos
Tipo de Evidencia
DISPOSITIVOS REDES DE COMPUTO
Versión
1
Fecha
17 de Octubre de 2017
Dispositivos Redes de Computo Descripción General Redes de Computo (Ver Anexo E) Descripción Especi ca Redes de Computo (ver Anexo E) Posibles pruebas de Evidencias Digitales (Ver Anexo E) Posibles Situaciones o Escenarios
5.4.1.1.2
Prevenciones al denunciante: No ingrese en la web de su entidad bancaria pulsando links; las entidades nancieras, estas nunca solicitan ingresar datos por medio de links para que usted envié, tal como se muestra en la siguiente imagen:
5.4.1
Correos de dudosa procedencia en su cuenta
Figura 20 Páginas Web falsas (Phishing)
La persona dispone de una cuenta corporativa o cuenta personal en la cual se visualizan remitentes desconocidos creando interés en acceder ciertas direcciones propuestas.
5.4.1.1 Caso A El intruso envía un correo que contiene información falsa
5.4.1.1.1 DESCRIPCIÓN: El cliente revisa un correo entrante en donde su asunto le dice veri car la cuenta de inscripción para el descuento en compras por medio de la tarjeta de débito de una entidad bancaria, el cliente sin tomar ninguna precaución pulsa sobre el link recibido. Este tipo de actuación la utiliza un intruso para llevar a su cliente a una página de una entidad nanciera suplantada, donde se le pide al cliente digitar datos que luego va utilizar el intruso para tomar los datos sensibles tales como Número de cuentas, contraseñas, nombres de usuarios, que luego van a hacer utilizados en la página real de la entidad nanciera para cometer el ilícitos.
Introduce sus datos con denciales únicamente en webs seguras: Las webs seguras han de empezar por 'https: //' y debe aparecer en tu navegador el icono de un pequeño candado cerrado. Figura 21 Páginas Web falsas
Figura 19 Envió de correo que contiene información falsa
Fuente:www.amazon.es
Fuente propia
Como apoyo a la descripción de este caso puede consultar el siguiente video: https://www.youtube.com/watch v=cNv_-LQr0cc
36
La mayor parte de ataques con páginas web falsas van contra entidades bancarias, pero en realidad pueden utilizar cualquier otra web popular del momento como gancho para robar datos personales: eBay, Facebook, Pay-Pal, Gmail, Outlook, Yahoo etc.
Contar con un so ware de seguridad para que detecte este tipo de correos.
5.4.1.1.2 Prevenciones al denunciante
Usted puede tener en cuenta las siguientes herramientas personales o corporativas que protejan correos:
Tener un antivirus actualizado Contar con un so ware de seguridad para que detecte este tipo de correos y sean bloqueados.
Herramienta de escaneo6 de webs para evitar fraudes en línea: http://www.scamadviser.com/
5.4.1.1.3 Recomendaciones al momento de presentarse el hecho
Antivirus actualizado En caso de algún incidente procure llamar a la Policía a la línea (123) y realizar la denuncia en el siguiente link:
5.4.1.1.3 Recomendaciones al momento de presentarse el hecho
http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDA DANO/Documentos_extraviados/atencion_documentos_extraviados
En caso de algún incidente procure llamar a la policía (123) y realizar la denuncia en el siguiente link:
5.4.1.3 Caso C: La persona utiliza Redes Sociales7y se comunica con un
http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDA DANO/Documentos_extraviados/atencion_documentos_extraviados
intruso simulando un per l que no es real.
5.4.1.2
5.4.1.3.1
Caso B. Envió de correos con archivos adicionales
DESCRIPCIÓN: Esta situación comúnmente sucede cuando una persona empieza agregar contactos desconocidos y en su per l tienen imágenes falsas que llaman la atención para atraer a sus víctimas.
5.4.1.2.1 DESCRIPCIÓN: En su cuenta aparecerán correos con archivos adicionales o archivos adjuntos los cuales pueden contener imágenes, archivos PDF, documentos o aparecerán mensajes de re exión. El cliente frecuentemente abre estos archivos sin medir los efectos que producen.
Figura 23. Persona utiliza Redes Sociales8y se comunica con un intruso simulando un per l que no es real
En este tipo de situación suele suceder cuando el intruso envía un correo con documentos adjuntos estos correos contienen programas maliciosos los cuales infectan su computadora personal para tomar el control total y poder robar la información personal y poder extraer la información personal sensible como datos personales, cuentas de ingreso, contraseñas etc. Figura 22 Imagen de correo adjunto Fuente propia
Cómo apoyo a la descripción de este caso puede consultar el siguiente video: https://www.youtube.com/watch?v=Pa2ttVRA-xU Fuente propia
Como apoyo a la descripción de este caso puede consultar el siguiente video: https://www.youtube.com/watch v=oZOe4ydINUM 37
6 Scamadviser.com 7 Facebook, Instagram, Google+, Twitter, 8 Facebook, Instagram, Google+, Twitter,
5.4.1.3.2
5.4.2.1
Prevenciones al denunciante
Caso A. Personas no autorizadas ingresan a su red Inalámbrica privada
El ordenador debe estar en una zona compartida por la familia. Los padres de familia deben tener las contraseñas de los per les de sus Hijos Controle el servicio de internet por el cual sus hijos ingresan a las redes sociales. Enséñeles hábitos como:
5.4.2.1.1 DESCRIPCIÓN: El Intruso ingresa a una red inalámbrica sin previa autorización Figura 24 Personas no autorizadas ingresan a su red Inalámbrica privada.
- Usar contraseñas seguras -No compartir con personas extrañas datos personales como sexo, edad, información personal, -Nunca enviar fotos y videos utilizando las redes sociales o chats -Procure estar con sus hijos cuando utilicen el Internet Consultar con frecuencia el historial de navegación. Actualizar los programas de seguridad y activar los sistemas de control parental que bloqueen el acceso de los niños a determinados contenidos.
5.4.1.3.3 Recomendaciones al momento de presentarse el hecho Fuente propia
Consulte esta línea gratuita nacional 018000912667, para una mayor información acerca de la prevención que se debe tener para sus niños cuando consulten el internet Así mismo, diseñaron el sitio WEB http://www.teprotejo.org/ index.php/es/ el cual se pueden remitir los usuarios para formular denuncias contra eventos de explotación sexual con menores de edad y para señalar las páginas electrónicas en las que se ofrezcan servicios sexuales con niños, niñas y jóvenes.
Cómo apoyo a la descripción de este caso puede consultar el siguiente video: https://youtu.be/VhtB7a0gZzI
5.4.2.1.2
Prevenciones al denunciante Tener contraseñas seguras a nuestros dispositivos No rebelar su contraseña a nadie Cambiar de contraseñas cada 30 Días Disminuir la cantidad de correos basuras No responder correo que nos envían podría ser un correo para que les suministremos datos personales. Mantener las soluciones activadas y actualizadas. Evitar realizar operaciones comerciales en computadoras de uso público. Veri car los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso de duda.
5.4.2
Acceso a nuestra red inalámbrica sin autorización En nuestros hogares contamos con un dispositivo llamado módem, estos en su gran mayoría cuentan con una red inalámbrica esto quiere decir que nos comparte Internet a nuestros dispositivos móviles, computadoras portátiles, tabletas; en muchas ocasiones dejamos una simple contraseña para el acceso a nuestra red inalámbrica y cualquier persona que intente ingresar puede robar señal de internet y si la persona que ingresa sin autorización sabe los métodos puede robar información con dencial. 38
5.4.2.1.3 Recomendaciones al momento de presentarse el hecho En caso de algĂşn incidente procure llamar a la policĂa (123) y realizar la denuncia en el siguiente link: http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDA DANO/Documentos_extraviados/atencion_documentos_extraviados
39
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Identi car Evidencias Digitales
Tipo de Evidencia
APLICA PARA TODOS LOS DISPOSITIVOS
Versión
1
Fecha
17 de Octubre de 2017
Tener extrema precaución de no tropezar, jalar o cortar cables de conexión de equipos, periféricos o conexiones de entrada o salida de datos.
6. Pasos generales para identi car la evidencia digital. A continuación, se presentan Pasos generales para identi car Evidencias Digital, estos pasos pueden variar de acuerdo a la tipicidad del caso para lo cual deberá establecerse tareas especí cas que conlleven a una efectiva identi cación de la evidencia en la escena.
Asegurar la zona y los equipos de acceso remoto, lo cual debe hacerse con extremo cuidado si se trata de servidores que deben ser intervenidos, ya que éstos, por su propia naturaleza, están especial mente preparados para ser accesados en forma remota. Tener una comprensión clara de los relatos de los hechos con el propósito de realizar un alistamiento previo de los elementos o recursos forenses necesarios que va a utilizar para identi car y recolectar las evidencias.
Tenga en cuenta en la escena de los hechos puede encontrar: Documentos Tales como: Anotaciones de claves de usuario o de correos que pudieran encontrarse en soportes distintos a los electrónicos (papeles o Posit, como, por ejemplo). Comprobantes de pago y/o facturas del servicio de conexión 9 satelital (teléfono y/o internet). Huellas Digitales no visualizadas que pueden encontrarse en: -En ventanas, en lugares o elementos especí cos tales como escritorio puertas, teclado, monitores, impresoras escáner etc. Tenga en cuenta si en el lugar de los hechos existe una cámara de grabación que le permite inferir imágenes, hora del incidente y la actuación previa actual y posterior del hecho La posibilidad que se encuentren objetos asociado al lugar del hecho (Gorras, pelos sangre, pisadas) que permitan se analizados para identi car le evidencia objetiva o el presunto(s) atacante(s).
Veri car que los presuntos responsables o la persona que estaba a cargo de los equipos no tenga en su poder un control remoto o cualquier otro dispositivo electrónico que pueda alterar el contenido o el estado de los equipos o periféricos, ya estén éstos conectados o no al servidor o sistema central. Esta precaución se aplica a todos los presentes en el acto. Retirar los teléfonos celulares o similares (dispositivos que contienen las PDA con teléfonos celulares), porque con ellos pueden realizarse en ciertos casos modi caciones sobre los equipos en distancias cortas.
Recomendaciones antes de Identi 10car y Recolectar cualquier evidencia digital que se encuentre.
Asegurar el acceso y control de los suministros de luz, debido a que existen muchos equipos que si son apagados de manera incorrecta pueden dañarse (lo que haría irrecuperable la información) o bien pueden perder información, como por ejemplo la de inicio de sesión.
No tome los objetos sin guantes de hule, pues podría alterar, encubrir o desaparecer las huellas dactilares o idénticas existentes en el equipo o en el área donde se encuentra residiendo el sistema informático. Proteger en la medida de lo posible la zona de interacciones humanas o animales.
Si en el momento de ingresar al lugar alguien se encuentra operando el sistema, tomar nota (en forma legal) de la situación, y de ser posible tomar imágenes fotográ cas cuando aún está sentado en posición de operador.
6.1
40
9 Tomado de: Inacipe 10 Tomado de Prezi
De igual manera, ordenar a la persona que se encuentra en el equipo que suspenda de manera inmediata lo que está haciendo y y tratar de tener control de las actividades que realiza hasta que se encuentre separado del equipo y los periféricos. Una vez garantizado el cierre del lugar de los hechos , debe procederse a realizar imágenes fotografías del estado y posición de los equipos, así como de sus puertos (conectores de cables, lectores de CD, lectores de disquete y cualquier otro punto de contacto del equipo con el exterior).de igual manera de la pantalla en el estado en que se encuentre, incluyéndose los cables, conectores externos e, incluso, todos los periféricos que se hallan en el área o los que pudieran estar conectados de forma remota si ello es posible (por ejemplo, impresoras comunes en una sala de impresión), con las debidas identi caciones, ya sea demarca o cualquier otra que pueda dar certeza sobre el equipo. Es ideal tomar fotografías de los números de serie todos ellos. Tomar imágenes fotográ cas para veri car la existencia de cámaras de video o de instaladas en el sitio o en el entorno del lugar de los hechos para tener plena certeza de la obtención de pruebas adicionales de la relación usuario equipo. Al manipular los equipos recuerde hacerlo siempre con guantes de hule para evitar la contaminación. Otorgue la intervención debida a los peritos en dactiloscopia para que se pueda determinar la existencia de huellas dactilares sobre el equipo o bien, en su caso, sobre los periféricos o soportes de cualquier índole que existan en el lugar de los hechos tales como (Gorras, pelos sangre, pisadas). Una vez terminado el proceso de levantamiento de huellas dactilares, puede comenzar la tarea de los técnicos en informática forense.
41
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Identi car Evidencias Digitales
Tipo de Evidencia
DISPOSITIVOS DE CÓMPUTO
Versión
1
Fecha
17 de Octubre de 2017
6.2 Elemento: Computadores de Escritorio o Desktop
Realizar una imagen fotográ ca (Fotogra ar) inmediatamente de lo que aparece en la pantalla.
6.2.1 Revisión previa antes de identi car el elemento.
Asentar inmediatamente en las actas de cateo la hora en fueron realizadas las tres operaciones, es decir, la primera imagen fotografía, el movimiento del ratón y la segunda fotográfica de la pantalla.
Paso 1: Documentar el dispositivo Tome imágenes fotográ cas Realice videos de la escena de los hechos y su entorno Elabore el bosquejo de la escena de los hechos Realice las notas que sean necesaria de lo encontrado apoyándolas con las imágenes fotográ cas. anexo
p
Bajo ninguna circunstancia continuar con las operaciones hasta que no se haga presente un experto en informática forense. En ese momento el especialista debe realizar, bajo condiciones normales, la extracción original de datos de las unidades de disco y la memoria RAM (clonación de discos y de memoria) del equipo para evitar la pérdida de la información volátil o la modi cación de datos o registros de entrada al equipo.
Paso 2:
tila
Determinar si el dispositivo está encendido o apagado Busque led en el elemento Identi que sonidos externos tales como ruido de ven ventiladores de dispositivos prendidos
6.2.3
El computador de escritorio esta encendido. 6.2.2
Paso 4: Si el dispositivo está encendido.
Si el computador de escritorio este apagado
Primero debe aislarse de intrusiones externas, para lo cual es necesario veri car la existencia de puertos de red o conexiones inalámbricas que pudieran ser fuente de acceso para modi car los contenidos.
Paso 3: Si el dispositivo está Apagado. No encenderlo por ningún motivo. Por el contrario, si están encendidos, no apagarlos por ningún motivo.
En caso de existir alguna conexión (cable de red o inalámbrica, que en muchos equipos es interna, porque no tendríamos acceso inmediato a la misma) se debe aislar de manera inmediata del equipo, preferiblemente con la asistencia del experto en informática y precintando las conexiones que se retiren.
Tomar de inmediato fotografía detallada de la imagen de la pantalla. Si se trata de un protector de pantalla o el monitor estuviese en descanso, con la utilización de guantes de hule mover lentamente el ratón hasta que aparezca la imagen del programa en proceso en el momento anterior al inicio del ahorro de energía del equipo. 42
Si existiere en el Jugar de los hechos más de un equipo identi car de manera clara cada uno de ellos por medio de números con etiquetas engomadas y rmadas, y en cada pieza que se retire de cada uno de ellos colocar el número que se asignó al equipo.
En caso de existir cable de red o conexión inalámbrica, que en muchos equipos es interna, por lo que no tendríamos acceso inmediato a la misma, se debe aislar de manera inmediata el equipo, preferiblemente con la asistencia del experto en informática.
Identi car en las imágenes fotográ ca el número asignado a cada equipo.
Asegurar de manera inmediata las conexiones que se retiren. Una vez aislado, proceder a la extracción de datos (clonación o copia física de los datos contenidos en los equipos).
Bajo ninguna circunstancia desmontar o desconectar más de un equipo a la vez, lo cual debe hacerse siempre conforme a los procedimientos indicados en los puntos posteriores, para evitar confundir las pie zas o cables de cada uno de ellos.
6.2.5 Situaciones que se pueden presentar con los dispositivos de cómputo
En la escena de los hechos se puede encontrar algunas situaciones las cuales podrán ayudar a la toma de alguna decisión.
Cuando un equipo está completamente desmontado, retirado del lugar de los hechos antes de comenzar con el siguiente equipo.
Situación 1 El monitor este encendido, muestra un programa o aplicación trabajando
Bajo ninguna circunstancia desconectar o retirar elemento alguno del equipo (discos de 31/2, CD, memoria USB, cables, tarjetas de memoria de cualquier tipo). Sólo fotogra ar su posición y estado.
Realicé una imagen fotográ ca de la pantalla y registré la información que se visualiza Siga los pasos cuando el computador este encendido
Veri car si los equipos se encuentran apagados o encendidos.
Situación 2 El monitor este encendido, pero muestra un protector de pantalla o imagen visible.
6.2.4. Si un equipo no puede ser retirado siga los siguientes pasos
Mueva el ratón ligeramente sin presionar ningún botón del mouse.
Si los equipos no pudieren ser retirados del lugar por su tamaño, el aseguramiento debe realizarse en el mismo lugar de los hechos, pero bajo el procedimiento de los puntos que siguen.
Realicé una imagen fotográ ca de la pantalla y registré la información que se visualiza Siga los pasos cuando el computador este encendido. Paso 4. Si el dispositivo está encendido.
Dejar constancia de si el equipo se encuentra encendido o apagado.
Situación 3 El monitor este encendido, sin embargo, no da imagen y parece que estuviera apagado
Si está encendido, no apagar por ningún motivo.
Mueva el ratón ligeramente sin presionar ningún botón del mouse.
Si está apagado, no encender por ningún motivo. Si se encuentra encendido, primero se debe aislar de intrusiones externas, para lo cual es necesario veri car la existencia de puertos de red o conexiones inalámbricas que pudieran ser fuente de acceso para modi car los contenidos.
Realicé una imagen fotográ ca de la pantalla y registré la información que se visualiza Siga los pasos cuando el computador este encendido 43
Elabore el bosquejo de la escena de los hechos
Situación 4 El monitor está apagado, y la pantalla está en negro
Realice las notas que sean necesaria de lo encontrado apoyándolas con las imágenes fotográ cas. anexo
Si el interruptor de encendido del monitor está en posición apagado, se puede prender y visualizar si se está ejecutando algún programa o aplicación.
Paso 2: Determinar si el dispositivo está encendido o apagado
Realicé una imagen fotográ ca de la pantalla y registré la información que se visualiza
Busque led en el elemento
Siga los pasos cuando el computador este encendido
Identi que sonidos externos tales como ruido de ventiladores de dispositivos prendidos.
Situación 5 El monitor está apagado, y la pantalla está en negro
Paso 3: Levantar individualmente todos los medios de soporte (CD, tarjetas, discos de 3 1/2, memorias USB o cualquier otro según los listados anteriores) que se encuentren separados del equipo.
Si el interruptor de encendido del monitor está en posición apagado, se puede prender y visualizar si se está ejecutando algún programa o aplicación. Si no se visualiza nada
Si se encuentra encendido, primero se debe aislar de intrusiones externas, para lo cual es necesario veri car la existencia de puertos de red o conexiones inalámbricas (en muchos casos internas, por lo que no se tendría acceso inmediato a las mismas) que pudieran ser fuente de acceso para modi car los contenidos.
Realicé una imagen fotográ ca de la pantalla y registré la información que se visualiza Siga los pasos cuando el computador este apagado. Situación 6 El monitor está encendido, y la pantalla está en negro
En caso de existir, se debe aislar de manera inmediata el equipo, preferentemente con la asistencia del experto en informática presente y precintando de manera inmediata las conexiones que se retiren.
Mueva el ratón ligeramente sin presionar ningún botón del mouse. Si no da imagen la pantalla y permanece en negro, con rme que se está suministrando energía, si sigue la pantalla en negro compruebe si tiene luces prendidas o se escucha los ventiladores.
Si existe en el equipo una tarjeta de red inalámbrica, retirar de manera inmediata la misma, precintando el lugar de donde se retiró. Colocar la tarjeta retirada, debidamente identi cada y fotogra ada en bolsa para su aseguramiento.
Si la pantalla sigue negra siga los pasos cuando el computador está apagado
Si la tarjeta fuere interna, localizar la tecla de anulación del servicio inalámbrico y desactivar el mismo de manera inmediata (por lo general la tecla de desactivación tiene una pequeña torre con paréntesis a sus lados en la parte superior).
6.2.6 Elemento: Computador Portátil Paso 1:
Documentar el dispositivo Tome imágenes fotográ cas Realice videos de la escena de los hechos y su entorno
44
Fotogra ar el equipo, su número de serie y el estado de la pantalla. Si la misma estuviese apagada, pasar suavemente el dedo (con guantes) sobre el Pad físico del ratón para habilitar la misma a su estado anterior y fotogra ar nuevamente lo que aparece en la pantalla.
Paso 4: Si el dispositivo está encendido. Precintar todos los mecanismos y conexiones de entrada y salida del equipo. Proceda con precaución No realice ningún movimiento con el Clic del mouse ni explore archivos ni contenidos · Preguntar acerca de contraseñas y / o cifrado del sistema Observe la pantalla y busque Programas que indican acceso a posibles pruebas Si ve algo en la pantalla que Le preocupa o necesita ser conservado, consulte con Un experto Tomar imágenes fotográ cas de la pantalla Una vez que esté preparado para Desconectar el sistema, apagarlo desconectando de la corriente Retire la batería del portátil
45
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Identi car Evidencias Digitales
Tipo de Evidencia
DISPOSITIVO DEL ALMACENAMIENTO
Versión
1
Fecha
17 de Octubre de 2017
Toda evidencia digital guardada en dispositivos de almacenamiento, y por tanto almacenado en un sistema de cheros, debe ser copiado mediante procedimientos so ware que no alteren la evidencia y que sean admisibles en un tribunal de justicia.
6.2.7.
Elemento: Dispositivo de Almacenamiento Paso 1: Documentar el dispositivo
Para ello realizar una imagen a nivel de bit del sistema de almacenamiento del dispositivo. Una imagen a nivel de bits es una copia que registra cada bit que fue grabado en el dispositivo de almacenamiento original, incluyendo cheros ocultos, cheros temporales, cheros corruptos, cheros fragmentados y cheros borrados que todavía no han sido sobrescritos. Estas imágenes 12 usan un Método CRC (Código de Redundancia Cíclica) para validar que la copia es la misma que el original.
Tome imágenes fotográ cas Realice videos de la escena de los hechos y su entorno Elabore el bosquejo de la escena de los hechos Realice las notas que sean necesaria de lo encontrado apoyándolas con las imágenes fotográ cas. anexo
6.2.9
Pasos para la creación de imágenes de Disco Duro13
Paso 2: Determinar si el dispositivo está encendido o apagado
El primer paso para llevar a cabo un análisis forense adecuado es recopilar evidencia informática. Debido a que existe un cierto grado de volatilidad de los datos almacenados en un disco duro, crear una imagen bit a bit es uno de los primeros procedimientos que se deberán llevar a cabo, este procedimiento se hace después de que los contenidos de la memoria del computador han sido copiados y almacenados correctamente.
Busque led en el elemento Identi que sonidos externos tales como ruido de ventiladores de dispositivos prendidos. Nota: Cuando en un caso de delito informático y la información está contenida en los diferentes Dispositivos de almacenamiento siempre debe realizarse el proceso de creación de imágenes para así no perder valor probatorio ante la Ley de Delitos informáticos.
Crear una imagen del disco indica que se hace una copia espejo o una reproducción de los datos contenidos en el disco duro. La reproducción es una copia perfecta del disco duro sector por sector de la unidad, incluyendo todos los espacios no utilizados y los sobrescritos parcialmente.
6.2.8 Paso para realizar imágenes en los dispositivos de almacenamiento de las evidencias digitales encontradas11 :
Si el dispositivo del cual tenemos que hacer copia de su sistema de almacenamiento está encendido, extraerlo siempre que sea posible y ponerlo en una estación de trabajo para la adquisición de datos. Si por cualquier circunstancia no es posible, arrancar el sistema donde está dicho dispositivo con un sistema operativo lo arrancaremos, desde disquete o CD, sin instalar nada en el sistema. 46
11 Tomado de Dspace Página 42 12 Fmr 13 http://ojs.tdea.edu.co/
Además, el NIST recomienda los siguientes requisitos para todas las herramientas de imágenes en disco: La herramienta no deberá alterar el original. Si no hay errores de acceso a los medios de origen, la herramienta deberá crear un duplicado del original bit a bit. Si hay errores I / O para acceder a los medios de origen, la herramienta deberá crear un duplicado del ujo de datos identi cando las áreas no accedidas y documentando en el registro este proceso. La herramienta deberá registrar los errores de E / S, incluyendo el tipo de error y la ubicación del error. La herramienta deberá ser capaz de acceder a las unidades de disco a través de una o más de los siguientes interfaces: acceso directo a la controladora de disco, interfaz BIOS, interfaz BIOS extendida, interfaz SCSI o interfaz de Linux. La documentación debe ser correcta en la medida en que la obligatoria y todos los requisitos aplicados opcionales se re ere. Por ejemplo, si un usuario siguiendo procedimientos documentados de la herramienta produce el resultado esperado, entonces la documentación se considera correcta. La herramienta deberá copiar una fuente a un destino que es mayor o igual al tamaño de la fuente, y deberá documentar el contenido de las áreas sobre el destino que no forman parte de la copia. La herramienta deberá noti car al usuario si la fuente es mayor que el de destino.
El proceso de creación de imágenes del disco duro no es un procedimiento destructivo con los datos y no se requiere que el sistema operativo este activo, esto asegura que el sistema no se alterará de ninguna manera durante el proceso de creación de las imágenes y se conservaran las pruebas. Cuando se tiene creada la imagen del disco duro el análisis forense se realiza únicamente sobre la imagen creada y por ningún motivo en el disco duro original, es recomendable tener 2 imágenes como respaldo al análisis. La capacidad de almacenamiento de los discos duros de las computadoras ha crecido exponencialmente en los últimos años. Como resultado, los discos duros son capaces de almacenar enormes cantidades de datos y hace que el procedimiento de toma de imágenes sea más complicado, para ello, se recomienda utilizar una herramienta que cree imágenes de disco ya que estos hacen una copia exacta del disco duro. 14
No es recomendable utilizar so ware como Partition Magic de PowerQuest para copiar el disco duro original ya que esto puede potencialmente contaminar la evidencia ya que este tipo de programas no capturan todos los datos residuales (por ejemplo, archivos eliminados, espacio de holgura e intercambio de archivos) necesarios para realizar un análisis forense completo. 11 Cómo elegir y utilizar la herramienta adecuada es imprescindible en una investigación en informática forense. De acuerdo con las especi caciones de imágenes de disco publicados por el Instituto Nacional de Estándares y Tecnología NIST (National Institute of 15 Standards and Technology).
Las siguientes herramientas para crear imágenes de disco se encuentran entre las pocas que en la actualidad cumplen con los 16 requisitos dispuestos por el NIST: · FTK Imager: Es un so ware comercial de imágenes forenses distribuido por AccessData. FTK Imager admite el almacenamiento de imágenes de disco en el 17 18 formato de archivo de EnCase o SMART , así como en 19 Formato RAW. Con la tecnología Isobuster integrada, FTK Imager Images CD a una combinación de archivos ISO / CUE. Esto también incluye CD's de sesiones múltiples y abiertas.
Las exigencias de un alto nivel de imágenes de disco herramienta son las siguientes: La herramienta hará una duplicación del ujo de bits o una imagen de un disco original La herramienta no modi cará el disco original. La herramienta será capaz de acceder tanto a discos IDE y SCSI. La herramienta deberá ser capaz de veri car la integridad de un archivo de imagen de disco. La herramienta deberá registrar los errores de entrada / salida (E / S). La documentación de la herramienta deberá ser correcta, se debe comprobar que todo concuerde con la información de la herramienta y la documentación impresa.
El siguiente link nos muestra el test realizado por la National Institute of Standards and Technology: https://www.dhs.gov/sites/default/ les/publications/1491_508_Test%2 0Report_NIST_Disk%20Imaging_FTK%20Imager%20v3.4.2.6_Octob er_14_2016.pdf
47
14 Referencia: Wikipedia 15 Página WEB nist 16 Página WEB: nist 17 Referencia: guidanceso ware
18 Referencia: forensicswiki 19 Referencia: Wikipedia
· X-Ways Forensics20: Es un entorno de trabajo avanzado para examinadores forenses de computadoras y nuestro producto estrella. Funciona bajo Windows XP / 2003 / Vista / 2008/7/8 / 8.1 / 2012/10 , Arquitectura de 32 bits / 64 bits.
En la computadora, con el equipo encendido, acceder al recurso acorde al orden de volatilidad de la información, con las herramientas forenses almacenadas en disquete o CD-ROM/DVD y de acceso de solo lectura21 : Ejecutar un intérprete de comandos legítimo. Obtener y transferir el listado de comandos utilizados en la computadora, antes de la recolección de datos. Registrar fecha y hora del sistema. Recolectar, transferir a la estación forense o medio de recolección forense y documentar. Fecha y hora del sistema. Memoria principal. Usuarios conectados al sistema. Registro de modi cación, creación y tiempos de acceso de todos los archivos. Listado de puertos abiertos y de aplicaciones escuchando en dichos puertos. Listado de las aplicaciones asociadas con los puertos abiertos. Tabla de procesos activos. Conexiones de redes actuales o recientes. Recursos compartidos (Carpetas, Documentos, Imagines). Tablas de ruteo. 22 Tabla de ARP (Address Resolution Protocol). Registros de eventos de seguridad, del sistema, de las aplicaciones, servicios activos. Con guración de las políticas de auditoría del sistema operativo. Estadísticas del núcleo del sistema operativo. Archivos de usuarios y contraseñas del sistema operativo. Archivos de con guración relevantes del sistema operativo. Archivos temporales. Enlaces rotos. Archivos de correo electrónico. Archivos de navegación en internet. Certi cación matemática de la integridad de los datos. Listado de los comandos utilizados en la computadora, durante la recolección de datos. Recolectar la topología de la red.
El siguiente link nos muestra el test realizado por la National Institute of Standards and Technology: https://www.dhs.gov/sites/default/ les/publications/1499_508_Test%2 0Report_NIST_Disk%20Imaging_XWays%20Forensics%20v18.8_Octo ber_14_2016.pdf
Existe un Portal web se puede encontrar pruebas de herramientas forenses computacionales (Computer Forensics Tool Testing (CFTT). El objetivo del proyecto de Pruebas de Herramientas Forenses Computacionales (CFTT) en el Instituto Nacional de Estándares y Tecnología (NIST) es establecer una metodología para probar herramientas informáticas forenses mediante el desarrollo de especi caciones generales de herramientas, procedimientos de prueba, y el hardware de prueba. https://www.c t.nist.gov/ Nota: Formato Raw es un formato de archivo digital de imágenes que contiene la totalidad de los datos de la imagen tal y como ha sido captada por el sensor digital de la cámara, ya sea fotográ ca u otro tipo.
6.2.10 Conjunto de tareas a realizar en el acceso a los dispositivos de almacenamiento volátil. Ejecutar un intérprete de comandos con able o veri cado matemáticamente. Registrar la fecha, hora del sistema, zona horaria. Determinar quién o quienes se encuentran con una sesión abierta, ya sea usuarios locales o remotos. Registrar los tiempos de creación, modi cación y acceso de todos los archivos. Veri car y registrar todos los puertos de comunicación abiertos. Registrar las aplicaciones relacionadas con los puertos abiertos Registrar todos los procesos activos. Veri car y registrar las conexiones de redes actuales y recientes. Registrar la fecha y hora del sistema. Veri car la integridad de los datos. Documentar todas las tareas y comandos efectuados durante la recolección. 48
20 Portal WEB: x-ways 21 Tomado de: ojs.tdea.edu.co/ 22 Consulta: geekytheory
informático forense considere relevante y documentarlo con fotografía, lmadora o en la lista de control. Modi car la unidad de inicio o arranque del sistema operativo, es decir seleccionar la unidad de disquete, CD-ROM/DVD o ZIP de solo lectura con las herramientas informáticas forenses. Guardar los cambios al salir.
Si es factible, apagar el equipo. Equipo apagado: En el caso que el perito informático forense efectúe la recolección de la evidencia en un equipo apagado, deberá previamente asegurarse que el dispositivo de inicio del equipo no se realice a través del disco rígido o dispositivo de almacenamiento secundario dubitado.23 Así mismo, deberá utilizar dispositivos de arranque en el modo solo lectura, con herramientas informáticas forenses para realizar la detección, recolección y registro de indicios probatorios.
13. Colocar la unidad de arranque, disquete, CDROM/ DVD o Zip en el dispositivo de hardware pertinente. 14. Veri car el inicio desde la unidad seleccionada. 15. Apagar el equipo. 16. Acorde a la decisión del perito informático forense o a lo solicitado en la requisitoria pericial, se podrá realizar el Procedimiento de duplicación y autenticación de la prueba, explicado anteriormente o continuar con la lectura del dispositivo original, con gurando el mismo con los jumpers que el fabricante indique como solo lectura o colocando un dispositivo de hardware de bloqueo de escritura. 17. Conectar el cable plano al disco rígido, puede ser IDE o SCSI. 18. Conectar la alimentación eléctrica del dispositivo de disco rígido. 19. Encender la computadora iniciando desde la unidad de arranque con gurada en el CMOS. 20. Colocar el dispositivo de almacenamiento forense. 21. Efectuar la certi cación matemática del dispositivo dubitado.24 22. Guardar el resultado en un dispositivo de almacenamiento forense. 23. Registrar el resultado en el formulario de recolección de la evidencia. 24. Por medio del conjunto de herramientas informático forense, obtener la siguiente información del disco dubitado,25documentarla y almacenarla en dispositivos de almacenamiento forense, para su posterior análisis, ya sea en el lugar del hecho o en el laboratorio:
Posteriormente, en lo posible, se debe realizar una recolección más detallada de los datos existentes en el almacenamiento volátil, efectuando las siguientes tareas: 1. Examinar y extraer los registros de eventos. 2. Examinar la base de datos o los módulos del núcleo del sistema operativo. 3.Veri car la legitimidad de los comandos del sistema operativo. 4. Examinar y extraer los archivos de claves del sistema operativo. 5. Obtener y examinar los archivos de con guración relevantes del sistema operativo. 6. Obtener y examinar la información contenida en la memoria RAM del sistema. 7. Apagar el equipo desconectando el cable de alimentación eléctrica 8. Retirar disquetes, PenDrive, Zip. 9. Descargar la propia electricidad estática, tocando alguna parte metálica y abrir el gabinete. 10. Desconectar la interfaz o manguera de datos, puede ser IDE o SCSI. 11. Desconectar la alimentación eléctrica del dispositivo de disco rígido. 12. Ingresar al CMOS (Complementary Metal Oxide Semiconductor) o con guración del BIOS (sistema de entrada y salida de la computadora): ISSN. Encender la computadora Oprimir el conjunto de teclas que se muestra en el monitor cuando se inicia la computadora para acceder al CMOS. Veri car la fecha y hora del CMOS y registrarla en el formulario de recolección de evidencia y documentar todo tipo de dato que el perito
Tipo de sistema operativo Fecha, hora y zona horaria del sistema operativo Versión del sistema operativo Número de particiones Tipo de particiones Esquema de la tabla de particiones Listado de todos los nombres de archivos, fecha y hora Registro del espacio descuidado o desperdiciado. 26 Incluido el MBR( Master Boot Record)
49
23 24 25 26
Signi cado: signi cadode Signi cado: signi cadode Signi cado: signi cadode Consulta: https://wiki.archlinux.org/
- Incluida la tabla de particiones - Incluida la partición de inicio del sistema y los archivos de comandos Registro del espacio no asignado Registro del espacio de intercambio Recuperación de archivos eliminados Búsqueda de archivos ocultos con las palabras claves en el: - Espacio desperdiciado - Espacio no asignado - Espacio de intercambio - MBR y tabla de particiones Listado de todas las aplicaciones existentes en el sistema Búsqueda de programas ejecutables sospechosos Identi cación de extensiones de archivos sospechosas. Listado de todos los archivos protegidos con claves. Listado del contenido de los archivos de cada usuario en el directorio raíz y si existen, en los subdirectorios Veri cación del comportamiento del sistema operativo: - Integridad de los comandos - Integridad de los módulos - Captura de pantallas. Generar la autenticación matemática de los datos a través del algoritmo de hash al nalizar la detección, recolección y registro. Conservar las copias del so ware utilizado Apagar o dejar funcionando el equipo, esto dependerá de la requisitoria pericial
50
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Identi car Evidencias Digitales
Tipo de Evidencia
DISPOSITIVO DE MANO
Versión
1
Fecha
17 de Octubre de 2017
Paso 3: Si el dispositivo esta apagado
6.3
Elemento: Dispositivo de Mano
No lo encienda
Paso 1:
Solicite cualquier contraseña que pueda tener y nos pueda servir para desbloquearlo
Documentar el dispositivo Tome imágenes fotográ cas
Paso 4: Si el dispositivo está encendido.
Realice videos de la escena de los hechos y su entorno
Proceda con precaución
Elabore el bosquejo de la escena de los hechos
Nota: Los dos desafíos más importantes Para los o ciales que se apoderan de dispositivos móviles son:
Realice las notas que sean necesaria de lo encontrado apoyándolas con las imágenes fotográ cas. anexo
Aislar el dispositivo de las redes celulares y Wi
Paso 2:
Obtener contraseñas de seguridad.
Determinar si el dispositivo está encendido o apagado
Siempre pregunte si hay cualquier característica de seguridad habilitada en el teléfono. Estos pueden incluir contraseñas (simples o complejas), seguridad / limpieza Aplicaciones, patrones de paso o biometría (exploración facial).
Busque led en el elemento Identi que sonidos externos tales como ruido de ventiladores de dispositivos prendidos. Nota: Muchos dispositivos móviles ahorran energía Apagando la pantalla después de un tiempo. A pesar del estado de la pantalla, el dispositivo Probablemente este prendido. Pregunte si el dispositivo está actualmente encendido.
Al apagar el dispositivo podría producirse la pérdida de evidencia. La mejor opción es mantener el dispositivo alimentado. Desbloqueado (Si está bloqueado, recopile las contraseñas disponibles, los códigos PIN o la información para desbloquearlo), y en colóquelo en modo avión hasta que esté en manos de Un técnico de experiencia.
51
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Identi car Evidencias Digitales
Tipo de Evidencia
DISPOSITIVOS PERIFÉRICOS
Versión
1
Fecha
17 de Octubre de 2017
Línea de Atención al Ciudadano: 018000 - 910600 Realizar la denuncia en el siguiente link:
Elemento: Impresora, Escáner, Teclado Mouse, Cámara de Video USB, Lector de Memoria SD/MicroSD
http://www.policia.gov.co/portal/page/portal/SERVICIOS_AL_CIUDADANO/ Documentos_extraviados/atencion_documentos_extraviados
No toque nada, solamente si es necesario utilizar guantes para evitar alterar la escena del crimen Registre y recopile información clave incluyendo una imagen especular, notas, registros y datos. Preservar el área para la recolección convencional de pruebas (es decir, huellas dactilares, ADN. La escena debe estar completamente documentada por notas escritas y / o un registro fotográ co.
Nota: Para las impresoras y Escáner este dispositivo contiene una Memoria RAM y Disco Duros en donde puede almacenar información relevante Siempre debemos tener precauciones acerca de las personas que trabajan en organizaciones ya que muchas veces suelen circular un gran número de personas y pueden confundirse con personas del exterior. Siempre llevar el carnet de la organización en un lugar visible. Tener directrices de seguridad para los empleados.
Registro imágenes fotográ cas o grabe un video de la escena del crimen y todos los componentes incluyendo los cables en sitio.
Procure seguir las indicaciones es importante llevar un orden para no alterar la escena de los hechos: Extraído del blog. http://aislamientoyproteccion-gsch.blogspot.com.co/
Asegure la escena Identi car el tipo de hecho (). Llevar a cabo el resguardo del lugar delimitando un área o perímetro de protección. Evitar el acceso de personas que no tengan un n investigativo. No mover ni tocar nada hasta que llegue el Medicina Legal y los peritos en criminalística o informáticos. Haga una identi cación y evaluación inicial. Tome medidas para minimizar el daño continuo. Noti car a la Policía Línea Telefónica: 123 E-mail: lineadirecta@policia.gov.co Instalar un so ware de comunicación para comunicarse con la Policía Nacional utilizando el internet: https://www.policia.gov.co/contactenos El manual de instalación se encuentra en la página web. 52
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Identi car Evidencias Digitales
Tipo de Evidencia
DISPOSITIVOS REDES DE COMPUTO
Versión
1
Fecha
17 de Octubre de 2017
6.4 Identi cación de información de trá co de red
Es importante que todas estas plataformas tecnológicas se encuentren previamente sincronizadas a través de NTP
A parte de los sistemas de información, es convencional realizar una veri cación minuciosa de la información registrada por los dispositivos de red, ya que puede ayudar a reconstruir y analizar ataques basados en red o a rastrear algún tipo de acceso o movimientos especí cos que puedan estar relacionados con el incidente reportado (Ataques DoS, DDoS, mal uso de los recursos de la organización, comportamientos anómalos).
Nota: La información que se encuentra en el manual de la cadena de custodia para evidencias digitales se basó en la información para las actividades Identi car Evidencias Digitales, Recolectar y Embalar Evidencias Digitales que se encuentra disponible en el siguiente enlace: Ver Guía por MINTIC : URL:https://www.dropbox.com/s/kn473py5vd4xdd6/evidencia %20digital%20-%20MINTIC.pdf dl=0
La principal fuente de información a consultar (de estar disponible), es un sistema tipo SIEM, que tiene la capacidad de almacenar Log's de distintos dispositivos de red y relacionarlos por el tiempo en que son generados. Esto permite ver la trazabilidad de un paquete desde que ingresa, hasta que abandona la red. Cuando se identi ca algún evento de interés (en una hora exacta), el análisis puede llegar a consistir en solo acceder a veri car Log's en los tiempos aproximados o puede llegar a ser más profundo y veri car varias fuentes de información adicionales, llegando a incluir a los proveedores de servicio de internet. Estos análisis se pueden llevar a cabo empleando so ware tipo NFAT (Network Forensic Analysis Tool) que puede ayudar a correlacionar dirección IP, direcciones MAC y realizar sus búsquedas en las fuentes de información disponibles. Otras fuentes de información relevantes son servidores DHCP,27 Aplicaciones Cliente Servidor (por ejemplo, Correo Electrónico), Log's del Proveedor De Servicios, Plataformas De Acceso Remoto (VPN).
Signi cado https://es.wikipedia.org/wiki/Network_Time_Protocol
53
27 Signi cado: technet
Forma de almacenamiento de la información (cifrada o no) 29 Existe IDS (Sistemas de Detección de Intrusos). Cuantos equipos en red están conectados.
6.5 Elemento: Dispositivos integrados en una red de cómputo Se trabajan en dos actividades: Intrusión en una red de computadores o mal uso de la misma. Interceptación de datos.
6.6 Evidencia Digital en Redes Otra categoría de evidencia que puede ser identi cada en el caso de los crímenes informáticos es la evidencia presente en las redes. Todo el ujo de información que corre a través de una red, sea interna o externa a una organización o aún en Internet podría contener evidencia potencialmente útil a la hora de investigar un delito informático.
El descubrimiento de la intrusión generalmente involucra la aplicación de so ware especializado y en algunos casos hardware, para supervisar la comunicación de los datos y conexiones a n de identi car y aislar un comportamiento potencialmente ilegal. Este comportamiento incluye el acceso no autorizado, modi cación del sistema en forma remota y el monitoreo no autorizado de paquetes de datos.
Adicionalmente, hay ciertos tipos de crímenes, como la falsi cación de correos electrónicos, intercambio de información ilegal a través de Internet (por ejemplo, pornografía infantil) o uso del IRC para concertar crímenes (práctica común entre la comunidad hacker) que no podrían cometerse sin la utilización de redes. En este caso la evidencia digital di ere de aquella que está almacenada en un solo computador porque se encuentra almacenada en computadores remotos o no está almacenada en ninguna parte. Los investigadores deberán hacer esfuerzos adicionales para poder demostrar que la evidencia en Internet es auténtica y no ha sido modi cada mientras estaba siendo transmitida o recolectada.
La captura de la evidencia y su preservación, generalmente tiene lugar después del descubrimiento de una intrusión o un comportamiento anormal, para que la actividad anormal o sospechosa pueda conservarse para el posterior análisis. La fase nal, la reconstrucción de la intrusión o comportamiento anormal, permite un examen completo de todos los datos recogidos durante la captura de la evidencia. Para llevar a cabo con éxito estas funciones, el investigador forense debe tener experiencia en comunicación de datos y el apoyo de ingenieros y/o técnicos de so ware.
La evidencia presente en redes debe ser buscada de manera activa y su recolección puede ser bastante dispendiosa puesto que la información podría estar almacenada en muchos sitios diferentes.
Antes de realizar un análisis se debe tener en cuenta la siguiente información: Sistema operativo afectado. Inventario de so ware instalado en el equipo. Tipo de hardware del equipo. Accesorios y/o periféricos conectados al equipo. Si posee rewall. Si está en el ámbito del DMZ (Zona desmilitarizada)28 Conexión a internet Con guración del Sistema Parches y/o actualizaciones de so ware Políticas de seguridad implementadas Personas con permisos de acceso al equipo. El pc está dentro del DMZ.
54
28 Extraído de Wikipedia: Es una zona segura que se ubica entre la red interna de una organización y una red externa, generalmente en Internet 29 Signi cado en: wikipedia
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Recolectar y Embalar Evidencias Digitales
Tipo de Evidencia
APLICA PARA TODOS LOS DISPOSITIVOS
Versión
1
Fecha
17 de Octubre de 2017
7.2
7.
Pasos para la recolección de la evidencia digital
Elementos y materiales para la recolección de la evidencia digital: Cámara fotográ ca o video lmadora Cajas de cartón Cuadernos para anotaciones Formularios de la cadena de custodia 30 Sistema Penal Oral Acusatorio SPOA Guantes Etiquetas Bolsas antiestáticas (aislamiento Faraday o papel de aluminio) Marcadores permanentes Precintos31 Herramientas de So ware Forense32 Disco discos duros externos para la extracción de la imagen forense Herramientas desmagnetizadas Testigos Métricos
Una vez se han identi cado las posibles fuentes de información, se debe proceder a realizar la recolección y examinación de los datos disponibles. La secuencia para llevar a cabo la recolección y examinación de medios/información es la siguiente:
7.2.1 Creación del archivo / bitácora de hallazgos formularios (cadena de custodia) Consiste en la creación y aseguramiento de un documento, ya sea físico o electrónico, que permita llevar un historial de todas las actividades que se llevan a cabo durante el proceso, y de los hallazgos encontrados, de modo que se tenga un resumen que permita hacer la reconstrucción del caso tiempo después de que este haya sido analizado.
7.1
Link para el ingreso a la plataforma del SPOA:
Estrategias previas para la recolección de evidencias digitales:
http://www. scalia.gov.co/colombia/la-entidad/sistema-penal-oralacusatorio/
Estudiar el caso antes de ingresar a la escena del crimen Llevar un orden de recopilación de información Buscar la evidencia Determinar la relevancia de los datos Determinar la volatilidad de la información Eliminar la interferencia exterior Recoger la evidencia Documentar todas las acciones realizadas Orientaciones para Recolección de Evidencias Cantidad de Información recolectada Cuidados al Hardware
7.2.2 Generación imagen de datos Consiste en la generación de las imágenes de datos que conciernen al caso en investigación. Se recomienda utilizar herramientas de extracción de imágenes como Linux Kali o Encase Forensic So ware. Ver enlace de cómo se realiza el proceso en la creación de una imagen forense: URL: https://www.oas.org/juridico/spanish/cyber/cyb40_imaging_sp.pdf
55
30 Tomado de: informaticaforense 31 Ver portal WEB: scalia 32 Signi cado: wikipedia
7.2.2.4
7.2.1.1
Revisión antivirus y veri cación de la integridad de la copia de la imagen
Veri cación de integridad de la imagen
Una vez se ha obtenido la copia de la imagen, es necesario asegurar que no tenga ningún tipo de virus conocido.
Para cada imagen suministrada se debe calcular su compendio criptográ co (SHA1/MD5), comparándolo luego con el de la fuente original. Si la comparación arroja un resultado negativo se debe rechazar la imagen proveída en el primer paso.
Luego se debe veri car la integridad de la copia, de la misma forma como se hizo con la original:
Enlace de cómo se calcula los HASH MD5/SHA-1 para comprobar que un chero no ha sido modi cado:
La scalía desarrolló el procedimiento llamado Manual Único de Cadena De Custodia , que contiene los pasos completos para asegurar las características originales de los elementos (evidencia) desde su recolección hasta su disposición nal:
URL: https://www.redeszone.net/2016/04/02/como-calcular-los-hashmd5-o-sha-1-para-comprobar-que-un- chero-no-ha-sidomodi cado/
https://www.dropbox.com/s/s6kn68ii58pduy7/ manualcadena2.pdf?dl=0
7.2.2.2 Creación de una copia de la imagen suministrada
De hecho, esta actividad es de tipo transversal en la metodología, es decir, debe realizarse periódicamente durante el proceso de análisis de datos, de modo tal que se garantice la integridad de los datos desde el comienzo, hasta el n de la investigación.
En un análisis de datos nunca se debe trabajar sobre la imagen original suministrada. Debe realizarse una copia master y a partir de esta, se reproducen las imágenes que se requieran. Como se realiza este proceso imágenes o videos
7.2.2.5 Identi cación de las particiones actuales y anteriores.
Link para dar a conocer cómo se realiza la creación o replica de una imagen forense utilizando la herramienta (Ejemplo): FTK Imager
La identi cación de las particiones en un dispositivo es de vital importancia, ya que reconocerlas implica la identi cación de su sistema de archivos, mediante el cual se pueden reconocer características especiales de la organización de la información y se puede de nir la estrategia de recuperación de archivos adecuada.
Video Demo: https://www.youtube.com/watch v=OUORBch0zaE https://www.youtube.com/watch v=bQfzHjjVyos
7.2.2.6 Detección de información en los espacios entre las particiones.
Blog Proceso: http://www.reydes.com/d/ q=Crear_la_Imagen_For ense_desde_una_Unidad_utilizando_FTK_Imager
Cuando se detectan datos en estas zonas de la imagen, se debe proceder a hacer un análisis para determinar si representan algún tipo de información relevante para la investigación. En caso de estar protegidos, estos archivos serán tenidos en cuenta en la fase de la identi cación de archivos protegidos, de lo contrario, se incluirán en el conjunto de archivos potencialmente analizables.
Nota: Este ejemplo no se aplica para casos de la vida real por que existen Hardware y So ware profesional.
7.2.2.7
7.2.2.3
Detección de un HPA (Host Protected Area)
Aseguramiento de la imagen original suministrada
Este paso debe realizarse solo si en los Metadatos34 se indica la existencia del HPA ya que de otro modo es imposible de identi car. En el caso en que exista, se debe seguir el mismo procedimiento del paso anterior ver 7.2.2.6
Se debe garantizar que la imagen suministrada no sufra ningún tipo de alteración, con el n de conservación de la cadena de custodia y del mantenimiento de la validez jurídica de la evidencia.
56
33 Ver herramientas forenses: prezi 34 Signi cado:wikipedia
7.2.2.12
7.2.2.8
Identi cación de archivos protegidos
Identi cación del sistema de archivos
Esta es la fase de consolidación de archivos protegidos identi cados en las fases anteriores. Durante esta fase se pretende descifrar o romper tal protección en estos archivos, con el n de adicionarlos al conjunto de archivos potencialmente analizables. Los archivos cuya protección no pudo ser vulnerada formarán parte del conjunto de archivos sospechosos.
Para cada una de las particiones identi cadas en el paso 7.2.2.6, debe identi carse su sistema de archivos, con el n de escoger la forma de realizar las actividades posteriores del análisis de datos. Para una consulta mas amplia consultar la siguiente URL: Enlace
7.2.2.9 Recuperación de los archivos borrados
7.2.2.13 Consolidación de archivos potencialmente analizables
Durante esta actividad se deben tratar de recuperar los archivos borrados de sistema de archivos, lo que es conveniente dado el frecuente borrado de archivos para destruir evidencia.
Durante esta fase se reúnen todos los archivos encontrados durante las fases de recuperación de archivos borrados, recuperación de información escondida, identi cación de archivos no borrados e identi cación de archivos protegidos.
Dependiendo de las características técnicas y del estado del sistema de archivos puede no ser posible la recuperación de la totalidad de los archivos eliminados, por ejemplo, si estos han sido sobre escritos, o si se han utilizado herramientas de borrado seguro para eliminarlos.
7.2.2.14 Determinación del sistema operativo y las aplicaciones instaladas Al determinar el sistema operativo y las aplicaciones instaladas, se está en la capacidad de obtener la lista de compendios criptográ cos de los archivos típicos del sistema operativo y de las aplicaciones, para veri car posteriormente la integridad de los estos archivos de encontrarse en la imagen sometida a análisis.
Los archivos recuperados exitosamente formarán parte de los archivos potencialmente analizables, exceptuando los archivos identi cados como protegidos que serán tenidos en cuenta durante la fase de identi cación de archivos protegidos.
7.3 Actividades a realizar
7.2.2.10 Recuperación de información escondida
7.3.1 Depuración de archivos buenos conocidos 35
En esta etapa se debe examinar exhaustivamente el slack space, los campos reservados en el sistema de archivos y los espacios etiquetados como dañados por el sistema de archivos.
El objetivo de este paso es descartar información que no será relevante para analizar. Con la lista de compendios criptográ cos obtenida en el paso 7.2.1.1, se procede a veri car la integridad de los archivos en la imagen que aparecen en tal lista. Si dicha comprobación es exitosa, estos archivos se consideran buenos y por lo tanto son descartados del proceso de análisis en la fase posterior.
Al igual que en la fase de identi cación, los archivos protegidos también se tendrán en cuenta durante la fase de análisis de este tipo de archivos.
7.2.2.11 Identi cación de archivos existentes
7.3.2 Consolidación de archivos sospechosos
Seguidamente, se clasi can los archivos restantes entre protegidos y no protegidos, donde estos últimos harán parte de los archivos potencialmente analizables, mientras los primeros harán parte la fase de análisis de archivos protegidos.
Como resultado del ltrado de buenos conocidos , se obtiene un conjunto de archivos susceptibles a análisis, este conjunto se llamará archivos sospechosos. 57
35 Signi cado computerhope
7.3.3 Primera clasi cación de archivos Divide los archivos sospechosos en:
7.3.3.1 Archivos Buenos Modi cados: Son identi cados en la fase de ltrado como archivos buenos cuya versión original. Ver Guía N° 13. Seguridad y Privacidad de la Información. P.17, 18 Numeral 10.2
7.3.3.2 Archivos Malos : Se obtienen a partir de la comparación de los archivos sospechosos contra los compendios criptográ cos de archivos malos relacionados con el sistema operativo particular. Estos archivos representan algún tipo de riesgo para el sistema en el que se encuentran o se ejecutan, por ejemplo: Sni ers, Troyanos, Backdoors, Virus, Keyloggers entre otros.
7.3.4 Archivos Con Extensión Modi cada: Aquellos cuya extensión no es consistente con su contenido (para ello siempre es necesario veri car los encabezados de los archivos y no su extensión).
Los archivos que cumplen alguna de las anteriores características se convierten en archivos prioritarios para el análisis, ya que son sospechosos de haber sido alterados para no ser detectados. Los que no cumplen con alguna de estas 3 características se deben someter a la siguiente etapa de clasi cación.
7.3.5 Segunda clasi cación de archivos Esta clasi cación toma archivos que no han sido considerados de máxima prioridad, los examina y los evalúa respecto a dos criterios: relación de los archivos con los usuarios involucrados en la investigación y contenido relevante para el caso, derivado del marco circunstancial. De esta manera, se busca obtener información complementaria útil para la fase de análisis. A continuación, se muestra un diagrama que ilustra un posible orden lógico para la ejecución del procedimiento de examinación y recolección de información:
58
Figura 25 Diagrama de Examinación y Recolección de Información
Veri cación de integridad de imagen de datos Creación de Bitácora de hallazgos
Creación de copias de imagen original
Creación de Imagen de Datos Aseguramiento de la imagen original suministrada
Revisión de antivirus y veri cación de la integridad de las copias de imagen
Identi cación de las particiones actuales y anteriores
Creación de manipulación adecuada de imágenes
Dirección de información en los espacios entre las particiones
Determinación de sistema operativo y aplicaciones instaladas
Consolidación de archivos potencialmente analizables
Identi cación de archivos protegidos
Recuperación de información escondida Identi cación de sistemas de archivos
Identi cación de archivos existentes
Detección de HPA
Recuperación de archivos borrados
Procesos para recolección y recuperación de información de las imágenes
Identi cación de información de trá co de red
Depuración de archivos buenos conocidos
Primera clasi cación de archivos
Consolidación de archivos sospechosos
Segunda clasi cación de archivos
INFORMACIÓN DEFINITIVA PARA INICIO DE ANÁLISIS
Descarte de información no útil
Fuente Figura copiada: https://www.mintic.gov.co/
59
7.4 Recomendaciones para examinación y recolección de información
El analista forense deberá trabajar junto con el equipo de incidentes, para decidir la manera adecuada de contener el incidente permitiendo a su vez recolectar la mayor cantidad de información posible (siempre y cuando sea posible). En ocasiones el sistema afectado debe aislarse del entorno para disminuir el impacto del incidente o para preservar la evidencia (de hecho, es el método más común). Debe evaluarse el impacto o la consecuencia de sacar un sistema de línea por mucho tiempo para poder generar las imágenes y/o copias de disco para la investigación, se debe evitar la mayor pérdida posible. Para realizar las manipulaciones de los sistemas, es pertinente que se tengan a la mano herramientas de tipo forense (so ware y hardware como una estación forense), que asegurará la integridad de la información a la hora de ser recolectada y veri cada por primera vez. Siempre se deberán realizar los análisis en copias de la información, nunca deberá hacerse en la información original (la cuál debe ser almacenada de manera segura para evitar que sea alterada). Es importante para los analistas forenses poder recibir u obtener toda la información recolectada con las estampas de tiempo precisas, es decir, que todas las plataformas de información se encuentren sincronizadas con un mismo reloj o servicio NTP. Esto garantizará mayor precisión en los estudios posteriores. Es importante decidir hasta qué punto la organización se encontrará en capacidad de realizar la recolección y/o análisis de la evidencia que se presentará en las siguientes fases, es por ello que dependiendo el caso deberá contactarse al COLCERT o CCP para recibir instrucciones o colaboración en la realización de estos procedimientos.
60
Tabla 2. Centros de coordinación de atención a incidentes a nivel mundial de Seguridad Informática
PAÍS
RECEPCIÓN
http://www.ccp.gov.co/
http://www.cert.br/
Brasil
El Centro Cibernético Policial es la dependencia de la Dirección de Investigación Criminal e INTERPOL encargada del desarrollo de estrategias, programas, proyectos y demás actividades requeridas en materia de investigación criminal contra los delitos que afectan la información y los datos.
El CERT.br Es el Grupo de Respuesta de Seguridad de Incidentes a la Internet en Brasil, mantenido por NIC.br, el Comité Gestor de Internet en Brasil. Es responsable del manejo de incidentes de seguridad relacionados con las redes de ordenadores conectados a Internet brasileña
Argentina
http://www.cert.org.co/
ICIC - CERT Coordinación de Emergencias de Redes de Teleinformáticas de la República Argentina, El ICIC funciona en el ámbito de la O cina Nacional de Tecnologías de Información (ONTI), la cual coordinará las actividades vinculadas al programa con las entidades y jurisdicciones de nidas en el artículo 8° de la Ley N° 24.156 y sus modi catorias, los organismos interjurisdiccionales y las organizaciones civiles y del sector privado que adhieran al mismo.
Venezuela
CSIRT - CCIT: El CSIRT-CCIT, Es un centro de coordinación de atención a incidentes de seguridad informática colombiano, el cual está en contacto directo con los centros de seguridad de sus empresas a liadas y está en capacidad de coordinar el tratamiento y solución de las solicitudes y denuncias sobre problemas de seguridad informática que sean recibidas.
VenCERT - Es el Sistema Nacional de Gestión de Incidentes Telemáticos de la República Bolivariana de Venezuela. Su principal objetivo, como CERT gubernamental es la prevención, detección y gestión de los incidentes telemáticos generados en los sistemas de información de la Administración Pública Nacional y los Entes Públicos a cargo de la gestión de Infraestructuras Críticas de la Nación.
http://www.vencert.gob.ve /es-ve/
Chile
Colombia
DESCRIPCIÓN
CSIRT Proveer información y asistencia a la Red de Conectividad del Estado y, en general, al Ciberespacio Gubernamental.
http://www.csirt.gob.cl/ mision_csirt.html
http://www.dhs.gov/
https://es.wikipedia.org/ wiki/UNAM-CERT
CERT Cyberseg, Guatemala, miembro de FIRST (Forum of Incident Response and Security Teams) Cyberseg a través de su CERT (Computer Emergency Response Team) recibe, analiza y responde las noti caciones y actividades relacionadas a incidentes de seguridad de la información, para instituciones privadas de América Latina, destinado a la Gestión de Incidentes de Seguridad Informática y Protección de Infraestructuras Criticas.
http://www.cyberseg.com /xcert/index.php option =com_content&view= article&id=4&Itemid=6
En Europa existen grupos de Incidentes para la Seguridad Cibernética: Lista Completa de CRIRTs conocidos en Europa
https://www.trusted-in troducer.org/directory/ country_LICSA.html
El CERT de Seguridad e Industria (CERTSI), es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital y del Ministerio del Interior. Por Acuerdo del Consejo Nacional https://www.certsi.es/ de Ciberseguridad de 29 de mayo de 2015, el CERTSI es el CERT Nacional sobre-certsi/que-es-certsi competente en la prevención, mitigación y respuesta ante incidentes cibernéticos en el ámbito de las empresas, los ciudadanos y los operadores de infraestructuras críticas.
Centro América
UNAM-CERT, Universidad Nacional Autónoma de México: El Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la Universidad Nacional Autónoma de México es un grupo de acción rápida que atiende cualquier ataque, intrusión o resguardo de información sobre la estructura informática perteneciente a la universidad.
Europa
US-CERT, United States Department of Homeland Security (DHS): Es un ministerio del Gobierno de los Estados Unidos con la responsabilidad de proteger el territorio estadounidense de ataques terroristas y responder a desastres naturales.
https://www.us-cert.gov/
España
Norte América
Norte AméricaUS-CERT: Es parte del DHS, lidera los esfuerzos para mejorar la postura de seguridad cibernética de la Nación, coordinar el intercambio de información cibernética, y proactivamente gestionar los riesgos cibernéticos a la Nación al tiempo que protege los derechos constitucionales de los estadounidenses.
http://www.icic.gob.ar/
Tabla de todos los centros de incidentes de ciberdelincuencia que existen en el mundo,
61
La Fase de extracción física identi ca y recupera datos en toda la unidad física sin respecto al sistema de archivos.
7.4.1 Procedimiento: Diferentes tipos de casos y medios de comunicación pueden requerir diferentes métodos de examen. Personas que conducen un examen de la evidencia digital debe ser entrenado para este propósito.
La fase de extracción lógica identi ca y recupera archivos y datos Basado en el (los) sistema (s) operativo (s) instalado (s), sistema (s) de archivos y / o aplicación.
Realizar el examen de los datos que se hayan adquirido median Procedimientos forenses.
7.4.4 Extracción física
Siempre que sea posible, el examen no se realiza con pruebas originales la extracción Se re ere a la recuperación de datos de los medios de comunicación de las copias originales.
Durante esta etapa la extracción de los datos de la unidad se produce a nivel físico Independientemente de los sistemas de archivos presentes en la unidad. Esto puede incluir los siguientes métodos:
El análisis se re ere a la interpretación de Los datos recuperados y la colocación de la misma en un formato lógico y útil (¿por ejemplo, ¿Llegar allí, de dónde vino, y qué signi ca ).
Búsqueda de palabras clave. Tallado de archivos y extracción de la tabla de particiones.
Los conceptos ofrecidos son Destinado a ayudar al examinador en el desarrollo de procedimientos y la estructuración del examen De la evidencia digital.
Espacio no utilizado en la unidad física. Puede ser útil realizar una búsqueda por palabra clave en la unidad física, ya que permite examinar y extraer datos que no pueden ser contabilizados por el sistema operativo y Sistema de archivos.
Estos conceptos no tienen la intención de ser inclusivos y reconocer Que no se pueden utilizar todas las técnicas siguientes en un caso.
Las utilidades de tallado de archivos procesadas a través de la unidad física pueden ayudar a recuperar y Extraer archivos y datos utilizables que no pueden ser contabilizados por el sistema operativo Y el sistema de archivos.
Depende de la Discreción del examinador para seleccionar el enfoque apropiado. Cuando realice un examen de evidencia, considere utilizar los siguientes pasos:
7.4.2
Examinar la estructura de partición puede identi car los sistemas de archivos presentes y determinar Si todo el tamaño físico del disco duro se contabiliza.
Preparación Preparar directorios / directorios de trabajo en medios separados a los que se pueden ser recuperados y / o extraídos.
7.4.5 Extracción lógica
7.4.3 Extracción
Durante esta etapa la extracción de los datos de la unidad se basa en el sistema de archivos (s) Presente en la unidad y puede incluir datos de áreas tales como archivos activos, archivos eliminados, Archivo ojo y espacio de archivo no asignado. Los pasos pueden incluir:
A continuación, se describen dos tipos diferentes de extracción, física y lógica:
62
Modi cado, último acceso, creado, cambio de estado) para vincular archivos de interés a los plazos Pertinentes para la investigación. Un ejemplo de este análisis sería Fecha y hora de la última modi cación para establecer cuándo se modi có por última vez el contenido de un archivo.
Extracción de la información del sistema de archivos para revelar características como directorio Estructura, atributos de archivo, nombres de archivo, sellos de fecha y hora, tamaño de archivo y ubicación del archivo. Reducción de datos para identi car y eliminar los archivos conocidos mediante la comparación de Valores de hash a valores de hash autenticados.
Revisar los registros del sistema y de la aplicación que pueden estar presentes. Estos pueden incluir errores Log's, registros de instalación, registros de conexión, registros de seguridad, etc. Por ejemplo, el examen de Un registro de seguridad puede indicar cuándo se usó una combinación de nombre de usuario / contraseña para registrar en un sistema.
Extracción de los expedientes pertinentes al examen. Métodos para lograr esto pueden ser Basado en nombre de archivo y extensión, encabezado de archivo, contenido de archivo y ubicación en la unidad. Recuperación de archivos eliminados Extracción de datos protegidos por contraseña, cifrados y comprimidos.
Nota: Tome en cuenta cualquier diferencia en la fecha y hora del equipo del individuo como se informa en el BIOS.
Extracción de la holgura del archivo.
7.4.8 Análisis de ocultos de datos
Extracción del espacio no asignado. Los datos pueden ocultarse en un sistema informático. El análisis de la ocultación de datos puede ser útil en Detectar y recuperar esos datos y puede indicar conocimiento, propiedad o intención. Los métodos que se pueden utilizar incluyen:
7.4.6 Análisis de los datos extraídos El análisis es el proceso de interpretar los datos extraídos para determinar su signi cado al Caso. Algunos ejemplos de análisis que se pueden realizar incluyen el marco de tiempo, los datos
Correlación de los encabezados de archivo con las extensiones de archivo correspondientes para identi car cualquier desajuste. Presencia de desajustes puede indicar que el usuario intencionalmente ocultó datos.
Escondite, solicitud y archivo, y propiedad y posesión. El análisis puede requerir una revisión De la solicitud de servicio, la autoridad legal para la búsqueda de la evidencia digital, la investigación Conductores y / o conductores analíticos.
Obtener acceso a todos los archivos protegidos por contraseña, cifrados y comprimidos, que pueden Indicar un intento de ocultar los datos de usuarios no autorizados. Una contraseña puede ser tan relevante como el contenido del archivo.
7.4.7 Análisis de los plazos
36
Estenografía: Técnica Utilizada para ocultar mensajes de otros objetos, de manera que no perciba su existencia.
El análisis de los intervalos de tiempo puede ser útil para determinar cuándo ocurrieron eventos en una computadora Sistema, que puede utilizarse como parte de asociar el uso de la computadora a un individuo (S) en el momento en que ocurrieron los hechos. Dos métodos que se pueden utilizar son:
Obtener acceso a un área protegida por el host (HPA). La presencia de datos creados por un HPA puede indicar un intento de ocultar datos.
Revisar los sellos de fecha y hora contenidos en los metadatos del sistema de archivos (por ejemplo, 63
36 Signi cado wikipedia 36
7.4.9
7.4.10
Análisis de aplicaciones y archivos
Propiedad y posesión
Muchos programas y archivos identi cados pueden contener información relevante para la investigación y proporcionan una visión de la capacidad del sistema y el conocimiento del usuario. Los resultados de este análisis pueden indicar pasos adicionales que deben tomarse en la extracción y procesos de análisis. Algunos ejemplos incluyen:
En algunos casos, puede ser esencial identi car a los individuos que crearon, modi caron o accedió a un archivo. También puede ser importante determinar la propiedad y Posesión de los datos cuestionados. Elementos de posesión basándose en el análisis descrito anteriormente, incluyendo uno o más de los siguientes factores.
Revisar los nombres de archivo de la relevancia y los patrones.
Colocar el sujeto en la computadora en una fecha y hora determinadas puede ayudar a determinar Propiedad y posesión (análisis de plazos).
Examinar el contenido del archivo. Los archivos de interés pueden estar ubicados en ubicaciones no predeterminadas (por ejemplo, directorio creado por el usuario Llamada "pornografía infantil") (análisis de aplicaciones y archivos).
Identi car el número y el tipo de sistema operativo (s). Análisis de los plazos Correlación de los archivos con las aplicaciones instaladas.
El propio nombre del archivo puede ser de valor probatorio y también puede indicar el contenido de El archivo (aplicación y análisis de archivos).
Considerar las relaciones entre los archivos. Por ejemplo, correlacionar el historial de Internet con Archivos de caché y archivos de correo electrónico a archivos adjuntos de correo electrónico.
Los datos ocultos pueden indicar un intento deliberado de evitar la detección (análisis de datos ocultos).
Identi car tipos de archivos desconocidos para determinar su valor para la investigación.
Si las contraseñas necesarias para acceder a archivos cifrados y protegidos por contraseña Las propias contraseñas pueden indicar posesión o propiedad (ocultos análisis de los datos).
Examinar las ubicaciones de almacenamiento predeterminadas de los usuarios para las aplicaciones y la estructura de archivos De la unidad para determinar si los archivos se han almacenado en su ubicación predeterminada o en otra (s) ubicación (es).
El contenido de un expediente puede indicar la propiedad o la posesión conteniendo información Especí co para un usuario (análisis de aplicaciones y archivos).
Examinar los ajustes de con guración del usuario. Analizando metadatos de archivo, el contenido del archivo creado por el usuario que contiene datos adicionales a la que se presenta al usuario, normalmente visto a través de la aplicación que lo creó. Por ejemplo, los archivos creados con aplicaciones de procesamiento de textos pueden incluir autoría, La última vez que se editó la edición, el número de veces que se editó y donde se imprimieron o guardaron.
64
7.4.11 Conclusión En sí mismos, los resultados obtenidos de cualquiera de estos pasos pueden no ser su cientes Para sacar una conclusión. Sin embargo, en su conjunto, las asociaciones entre los resultados individuales pueden proporcionar una imagen más completa. Como paso nal en el examen Proceso, asegúrese de considerar los resultados de la extracción y análisis en su totalidad. El examen y la identi cación de las pruebas dependen del tipo de delito que se esté analizando. Los archivos de evidencia pueden venir en muchas formas, que van desde archivos de sistemas operativos propietarios a artefactos del navegador de Internet. Hay muchas técnicas usadas para apuntar esta evidencia que incluyen, pero no se limitan, a continuación, las técnicas más comunes.37
65
37 Extraído y traducido researchgate
Tabla 3. Técnicas para la examinación de evidencias digitales
Técnicas para la examinación de evidencias digitales TÉCNICA
CARACTERÍSTICAS
Hashing
El hash es una cadena única que se utiliza para identi car un archivo y asegurarse de que no ha sido manipulado desde su reunión.
Búsqueda de palabras clave
Búsqueda de palabras clave es el proceso de cadenas de ubicación de información A menudo se utiliza en forenses para resaltar archivos que pueden contener texto en particular que indican que son evidénciales. Puede reducir signi cativamente el tiempo que se tarda en completar una investigación.
Firmas de archivo
Cada tipo de archivo utiliza una serie de bytes al principio que identi ca su tipo. Esto debe ser consultado en contra de la extensión que tiene - si coinciden, entonces el archivo es lo que dice que es. Las áreas especí cas de un sistema pueden ser analizadas para identi car los archivos relevantes conocidos.
Lugares probados conocidos
Los archivos tienen una rma de archivo o una cadena de bytes al principio que identi ca el punto de inicio del archivo - a menudo esto se denomina como el encabezado del archivo. Los archivos a menudo también mantienen un 'pie de archivo'. Similar al encabezado, este es un conjunto único de bytes al nal del archivo. Los archivos tienen una rma de archivo o una cadena de bytes al principio que identi ca el punto de inicio del archivo - a menudo esto se denomina como el encabezado del archivo
Talla de archivo
Los archivos a menudo también mantienen un "pie de archivo". Similar al encabezado, este es un conjunto único de bytes al nal del archivo. Todos los datos entre el encabezado y el pie de página son relevantes para ese archivo en particular y el proceso de recopilación de estos datos de áreas no asignadas del disco es conocido tallado de archivos.
Montaje de archivos compuestos
Archivos con una estructura interna de archivos o un conjunto de archivos de almacenamiento dentro de él. Por ejemplo, incluyen, .zip, .rar
Contenedores del sistema de archivos
A menudo, los datos interesantes se almacenan en contenedores de archivos o imágenes que pueden requerir una contraseña para montar. Si un sistema está apagado, el acceso a los dispositivos montados ya no será posible debido a las contraseñas que faltan. Algunos depositarios no pueden ser reconocidos como tales. Por lo tanto, se requiere el debido cuidado analizando un sistema vivo
Fuente: Información extraída de: https://www.researchgate.net/publication/269692184_European_Union_Agency_for_Network_and_Information_Security_Electronic_evidence_a_basic_guide_for_First_Responders
Página 17
66
Asegúrese de que todas las pruebas digitales estén empaquetadas de tal manera que no se pueda doblar, rascarse o deformarse de otra manera.
7.5 38
Embalaje de las Evidencias digitales
Las computadoras y dispositivos electrónicos en los que se almacena la evidencia digital son frágil y sensible a temperaturas extremas, humedad, choque físico, electricidad estática y campos magnéticos. El primer analista debe tomar precauciones al documentar, fotogra ar, empaquetar, transportar y almacenar evidencia digital para evitar alterar, dañar o destruir los datos.
Etiquetar todos los contenedores utilizados para empaquetar y almacenar evidencia digital clara y correctamente. Deje los teléfonos celulares, móviles o inteligentes en el estado de energía (encendido o apagado) en los que se encontraron. Empaque los teléfonos móviles o inteligentes en material que bloquea la señal, como bolsas de aislamiento Faraday, material de protección contra radiofrecuencias o papel de aluminio para evitar que los dispositivos envíen o reciban mensajes de datos. (Los primeros que respondan deben ser conscientes de que, si se envasan inadecuadamente, o se retiran de un empaque blindado, el dispositivo puede ser capaz de enviar y recibir mensajes de datos si está en el alcance de una comunicación señal.)
7.5.1 Procedimiento de embalaje Todas las acciones relacionadas con la identi cación, recolección, embalaje, transporte y almacenamiento de evidencia digital deben ser documentadas a fondo. Al empaquetar evidencia digital para el transporte. El primer respondedor deberá: Asegurar de que todas las pruebas digitales recopiladas estén debidamente do c ument adas, et iquet adas, marcadas, fotogra adas, grabadas o esbozadas en video, e inventariadas antes de que se envasen. Todas las conexiones y dispositivos conectados deben estar etiquetados para una fácil recon guración del sistema más adelante. Recuerde que la evidencia digital también puede contener evidencia latente, de rastro o biológica y tomar las medidas apropiadas para preservarla. La evidencia digital debe ser realizada antes de que se lleven a cabo pruebas de evidencia latente, de rastreo o de evidencia biológica.
Figura 27 Empaques Blindados
Fuente Imágenes: http://articulo.mercadolibre.com.mx/MLM-559718178-70mil-10pc-emp-esd-premi um-heavy-duty-jaula-de-faraday-bo-_JM https://www.amazon.com/Black-Hole-Faraday-Bag-Anti-tra cking/dp/B01BY9H5H6
Importante: Recoja todas las fuentes de alimentación y adaptadores para todos los dispositivos electrónicos incautados y márquelo para no confundirse de cual fuentes corresponde.
Empaque todas las pruebas digitales en embalaje antiestático. Solo papel bolsas y sobres, cajas de cartón y recipientes antiestáticos deben utilizarse para empaquetar pruebas digitales. Los materiales plásticos no deben usarse al recolectar evidencia digital porque el plástico puede producir o transportar electricidad estática y permitir que la humedad y la condensación se desarrollen, lo que puede dañar o destruir la evidencia.
7.6 Procedimientos de transporte39 Cuando se transporta evidencia digital, el primer respondedor debería: Mantenga la evidencia digital lejos de campos magnéticos como Los producidos por los transmisores de radio, los imanes del altavoz, Y luces de emergencia de montaje magnético.
Figura 26 Empaques utilizados para el embalaje de la Evidencia Digital.
Otro potencial Peligroso que el primer respondedor debe tener en cuenta incluye Calentadores y cualquier dispositivo o material que pueda producir electricidad estática.
Fuentes Imágenes: http://kartox.com/cuaderno/embalaje-productos-5-pasos-imprescindi bles/ https://es.vwr.com/store/content/externalContentPage.jsp path=/es.vwr.com/es_ES/ basan_packaging_antistatic_polyethylene.jsp
67
38 Consultar: ncjrs 39 Extraído: ncjrs
Evite guardar pruebas digitales en un vehículo para períodos de tiempo. El calor, el frío y la humedad pueden Destruir la evidencia digital. Asegúrese de que las computadoras y los dispositivos electrónicos estén empaquetados y asegurarlo durante el transporte para evitar daños De choque y vibración. Documentar el transporte de la evidencia digital y Mantener la cadena de custodia en todas las pruebas transportadas.
7.7 Procedimientos de almacenamiento40
Figura 28 Identi car cada componente que se encuentre conectado a una computadora y rotule el ordenador todos los cables y las conexiones correspondientes.
Cuando se almacena evidencia digital, el primer respondedor debe: Asegurar que la evidencia digital sea inventariada de acuerdo con las políticas de la agencia. Asegúrese de que la evidencia digital se almacena de forma segura, Ambiente controlado por el clima o un lugar que no sea Sujeto a temperatura o humedad extremas. Asegúrese de que la evidencia digital no esté expuesta a Humedad, polvo, vibraciones o cualquier otro elemento que puede dañarlo o destruirlo.
Notas41 Si se toman más de una computadora como evidencia, todos los ordenadores, cables y dispositivos conectados a ellos deben estar debidamente etiquetados para facilitar el reensamble si es necesario. En este ejemplo, el ordenador se designa como equipo A. Todas las conexiones y cables están marcados con un "A" y un número único. Posteriormente las computadoras incautadas pueden ser etiquetadas en orden alfabético. Las conexiones y cables correspondientes se pueden etiquetar con la designación de letra para la computadora y un número único para asegurar el reensamble apropiado. Las pruebas digitales potencialmente valiosas, incluidas fechas, horas y con guración del sistema, se pueden perder debido al almacenamiento prolongado si fallan las baterías o la fuente de alimentación que preservan esta información. Cuando sea aplicable, informe a los responsables de la cadena de custodia de los dispositivos electrónicos que están alimentados por baterías y requieren una pronta atención para conservar los datos almacenados en ellos.
Fuente imagen: https://www.ncjrs.gov/pd les1/nij/219941.pdf , página 34
68
40 Extraído ncjrs 41 Extraído ncjrs
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Recolectar y Embalar Evidencias Digitales
Tipo de Evidencia
Sistemas de Computo
Versión
1
Fecha
17 de Octubre de 2017
No intente ver los datos en el ordenador.
7.8 Recolección cuando el elemento es un sistema de cómputo
Apague antes de recolectar evidencia. Recuerde: Asegurar la escena Ver cómo se asegura la escena del crimen: URL: http://aislamientoyprotecciongsch.blogspot.com.co/
Si la computadora está apagada, déjela apagada. Encenderlo podría alterar la evidencia en la computadora.
Preservar el área para la recolección convencional de pruebas (es decir, huellas dactilares, ADN), así como Pruebas electrónicas.
Cuando adquiere el ordenador, entréguelo a un experto lo antes posible y documente todas los Transportes e intercambios en la cadena de custodia.
Recuerde, hay muchos métodos para acceder a ordenadores de forma remota.
Haga todo lo posible por reunir los manuales de instrucciones y los cables de alimentación.
El tiempo es muy crítico, ya que los datos de la computadora pueden ser alterados y borrados rápidamente. Asegurar la computadora como evidencia.
Los retrasos en la realización de un examen pueden resultar en pérdida de información debido a fuente de alimentación.
No olvide adquirir el cable de alimentación
Tenga cuidado en el manejo y almacenamiento (evite el frío, la humedad, etc.). Preparar el equipo para el transporte.
Si el ordenador está encendido, déjelo encendido (a menos que esté ejecutando un proceso destructivo).
Desenchufe el cable de alimentación de la parte posterior de la computadora (no en el tomacorriente) para desenchufe el cable adecuado y evite que el ordenador funcione con la batería en suministro de energía ininterrumpida.
Mueva ligeramente el ratón para determinar si el protector de pantalla del ordenador está funcionando o no La computadora está en modo de reposo. También puede buscar cualquier luz encendida en la torre o base del ordenador portátil.
Los ordenadores portátiles deben desconectarse de la fuente de alimentación y retirar la batería.
Si la computadora está encendida, fotografíe o tome nota de lo que está en la pantalla y qué programa este encendido. Apagarlo podría activar la función de bloqueo.
No extraiga ningún CD, DVD o disquete. Los dispositivos USB se pueden quitar después de haber apagado. Aproveche también cualquier medio extraíble. Tome fotos y registre el número de serie del ordenador y todos los dispositivos conectados a él.
No abra ningún programa en la computadora en cuestión. 69
Si no está cali cado para realizar lo siguiente, consulte a un especialista para obtener más ayuda.
Si el ordenador tiene una conexión telefónica o de red, identi que el número de teléfono, el número de serie del módem, y cualquier característica de identi cación para vincular el ordenador a su conexión de red.
Asegure la escena y no permita que nadie tenga acceso al equipo objetivo excepto las personas entrenadas para manejar los sistemas de red.
7.9 Preparar la computadora para el transporte
No desenchufe ningún equipo, ya que podría: Si no está cali cado para realizar lo siguiente, consulte a un especialista para obtener más ayuda.
• Dañar gravemente el sistema • Interrumpir operaciones comerciales legítimas •Interrumpir operaciones de socios comerciales que dependen de la continuidad de su negocio
Retire o abra la carcasa del ordenador. Retire los cables de alimentación y de datos de la (s) unidad (s) de disco duro. Anote el conector que se conectó a cada unidad para que pueda volver a conectarlos cuando haya terminado. Retire cada disco duro de la computadora, a menos que pueda ver fácilmente el número de serie de la unidad y otros identi cadores. La siguiente lista es un ejemplo de los tipos de datos electrónicos que se pueden encontrar en los discos duros de Computadoras y / o servidores: Correo electrónico / Mensajes instantáneos Pornografía Historia de los sitios de Internet visitados Contratos Reportes nancieros Hojas de cálculo Archivos creados y eliminados (metadatos) Nota: Esta lista es meramente un ejemplo de algunos de los datos más analizados. Servidores de red Servidores
70
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Recolectar y Embalar Evidencias Digitales
Tipo de Evidencia
Dispositivos de Almacenamiento
Versión
1
Fecha
17 de Octubre de 2017
Nota: ver procedimiento de cómo se recolecta y Embala la Evidencia Digital
7.10 Recolección cuando el elemento es un Dispositivo de almacenamiento. Los medios de almacenamiento se utilizan para almacenar datos de un dispositivo electrónico. Muchos dispositivos tienen capacidades tanto para Almacenamiento / memoria ja (interna) y la capacidad de almacenar datos de forma única o simultánea a dispositivos extraíbles Medios de almacenamiento (externos).
Ver enlace de cómo se realiza el proceso en la creación de una imagen forense: https://www.oas.org/juridico/spanish/cyber/cyb40_imaging_sp. pdf
La lista siguiente se proporciona para ilustrar varios tipos de medios de almacenamiento: Dispositivo USB (es decir, pen drive) CD / DVD Disquete Tarjeta de memoria ash Unidad de disco duro extraíble Memorias SD
71
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Recolectar y Embalar Evidencias Digitales
Tipo de Evidencia
Dispositivos de Mano
Versión
1
Fecha
17 de Octubre de 2017
El último número marcado (LDN)
7.11 Recolección cuando el elemento es un Dispositivo de Mano
Lista de contactos (guía telefónica personal) Antes de manejar un teléfono celular, considere qué otros tipos de evidencia, como ADN o huellas Teléfono y siga los procedimientos de manipulación adecuados.
Mensajes de texto Fotografías
Reglas de encendido / apagado: Videoclips Es recomendable desconectar el teléfono debido a la posibilidad de pérdida de datos si la batería Expira o se produce actividad de red.
Calendario
Si el teléfono permanece encendido, asegúrese de que esté en modo avión. Debe mantenerse cargado y no manipulado. Apague siempre un teléfono durante el transporte.
Email Timbres personalizados (un tono distintivo puede ser recordado por un testigo para colocar Alguien en un lugar físico)
Mientras el teléfono esté encendido, haga todos los esfuerzos para quitar el teléfono de la red; esto incluye Poniéndolo en modo avión o envolviéndolo en varias capas de papel de aluminio.
Ubicación (establecer la ubicación física o la dirección del viaje) Para evitar el funcionamiento accidental durante el transporte, el teléfono debe estar empaquetado para que quede inmóvil.
Otra fuente de evidencia electrónica es la tarjeta SIM (módulo de identidad de abonado) de un teléfono adjunto a La red celular GSM (sistemas globales para comunicaciones móviles).
El teléfono debe colocarse en una bolsa de pruebas, sellada para restringir el acceso y el etiquetado Procedimientos para que la exhibición mantenga una cadena de custodia apropiada.
La tarjeta SIM es simplemente una que contiene un procesador y una memoria no volátil.
La siguiente lista no es en absoluto exhaustiva, sino que sólo se ofrece para ilustrar algunos de los Varios tipos de datos electrónicos que se pueden encontrar en los teléfonos celulares:
En teléfonos celulares, la tarjeta SIM se utiliza como Dispositivo para datos relacionados con el abonado. Los tipos de datos electrónicos que uno puede encontrar en una tarjeta SIM incluyen sin límites:
Llamadas efectuadas (fecha, hora, duración) Llamadas recibidas (fecha, hora, duración) El último número marcado (LDN) 72
Identi cador del área de ubicación: identi ca dónde se encuentra actualmente el teléfono celular. Este valor es.
Si se requiere transporte, embalar los componentes y transportar / almacenar los componentes como carga frágil.
Retenida por la tarjeta SIM cuando el teléfono está apagado. Esto es útil para determinar en qué
Los retrasos en la realización del examen pueden resultar en pérdida de información debido a Fuente de alimentación interna.
El área de ubicación del teléfono celular fue utilizada por última vez cuando estaba en funcionamiento.
Tenga cuidado en el manejo y almacenamiento (evite el frío, la humedad).
Número de serie - Este número se puede recuperar sin proporcionar el PIN (identi cación personal Número) y, por lo tanto, identi cará el SIM.
Cuando esté disponible, todos los manuales deben ser recolectados con el equipo. Mensajes de texto - Normalmente, hay espacio en el SIM que está destinado a almacenar un pequeño número de los mensajes de texto que se enviaron recientemente. Además, los teléfonos celulares también almacenan memoria. La mayoría de los teléfonos celulares utilizan la memoria SIM antes de usar la memoria interna.
Número de cliente: se denomina IMSI (identidad de abonado móvil internacional) Que es el número de identi cación del cliente y le permitirá, con la ayuda de la red Proveedor, para identi car a la persona que posee el teléfono celular. Número de teléfono celular: se denomina MSISDN (servicios integrados de abonado móvil Digital).
Mensajes eliminados - Al igual que la eliminación de un archivo en un disco duro típico, el primer byte se establece en cero.
7.12 Cámaras digitales / Audio / Video
Esto signi ca que los mensajes borrados se pueden recuperar excepto el primer byte, siempre y cuando Mensaje no ha sobrescrito el mensaje antiguo
Si el dispositivo está apagado, déjelo apagado.
Agenda: la mayoría de los teléfonos celulares tienen la capacidad de almacenar un mínimo de 100 Nombre asociado.
Si el dispositivo está encendido, consulte a un especialista. Si un especialista no está disponible, asegure el material grabado (cinta, tarjeta de memoria) y asegure el dispositivo: Dispositivo de fotografía (pantalla / pantalla), luego desconecte todas las fuentes de alimentación; Desconecte la parte posterior del dispositivo. Si no puede hacerlo, adquiera el dispositivo y consulte a un especialista tan pronto como sea posible. Coloque la cinta sobre las áreas de acceso (por ejemplo, ranuras de unidad y ranuras de medios). Etiquete todos los extremos del conector / cable para permitir el reensamblaje según sea necesario.
73
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Recolectar y Embalar Evidencias Digitales
Tipo de Evidencia
Dispositivos Periféricos
Versión
1
Fecha
17 de Octubre de 2017
7.13 Recolección cuando el elemento es un Dispositivo Periférico Otras Fuentes Potenciales de Datos Electrónicos
Tarjetas inteligentes y tarjetas con banda magnética Dispositivos de juegos electrónicos (por ejemplo, Wii, PlayStation, X-Box) Asistente digital personal / Computadoras de mano Sistema de Posicionamiento Global
Nota: Se realiza todo el proceso de Recolección y Embalaje descrito en esta Actividad para los Dispositivos Periféricos.
74
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Recolectar y Embalar Evidencias Digitales
Tipo de Evidencia
Dispositivos Redes de Cómputo
Versión
1
Fecha
17 de Octubre de 2017
A continuación, se muestra la información para recopilar cuando se trata de Dispositivos Redes y Servidores: Describir la con guración. Adjunte un diagrama de la con guración de red Estructura de la Infraestructura. Identi car el Sistema Operativo (SO): Windows, Unix / Linux, MS DOS, etc. Identi car cualquier dispositivo externo. Identi car cuántos servidores están involucrados. Determinar el papel de cada servidor en el sistema. Determinar el tipo de sistemas de archivos: FAT / NTFS. Identi car cuántas estaciones de trabajo están involucradas. Determinar si se encontró algún so ware no autorizado en una computadora. Determinar si se ha conectado cualquier hardware no autorizado.
75
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Analizar y Documentar Evidencias Digitales
Tipo de Evidencia
Aplica para todos los dispositivos
Versión
1
Fecha
17 de Octubre de 2017
que le servirá para realizar el estudio de las evidencias. En ese mismo ordenador y sobre un segundo disco duro, vuelque las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado. En el otro equipo instale un sistema operativo con gurado exactamente igual que el del equipo atacado, además mantenga nuevamente la misma estructura de particiones y cheros en sus discos duros. La idea es utilizar este segundo ordenador como conejillo de Indias y realizar sobre él pruebas y veri caciones conforme vayan surgiendo hipótesis sobre el ataque.
8. Análisis de la Evidencia Digital Una vez que se dispone de las evidencias digitales recopiladas y almacenadas de forma adecuada, pasemos a la fase quizás más laboriosa, el Análisis Forense propiamente dicho, cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque o timeline, determinando la cadena de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque, hasta el momento de su descubrimiento. Este análisis se dará por concluido cuando conozcamos cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc.
Si no dispone de estos recursos, puede utilizar so ware como VMware, que le permitirá crear una plataforma de trabajo con varias máquinas virtuales (varios equipos lógicos independientes funcionando sobre un único equipo físico). También puede decantarse por una versión LIVE de
A continuación, se describirá este proceso de análisis empleando las herramientas propias del sistema operativo que se emplee como an trión y las que recopiló en su ToolKit, de esta forma se pretende dar una visión amplia del proceso que ayudará a comprender mejor el funcionamiento de las herramientas especí cas para el análisis forense de sistemas que se expondrán más adelante.
Sistemas operativos como Linux, que le permitirá interactuar con las imágenes montadas, pero sin modi carlas. Pero si tuvo la feliz idea de hacer que su ToolKit en CD o DVD fuese auto arrancable, ahora es el momento de utilizarlo. Si está muy seguro de sus posibilidades y de lo que va a hacer, puede conectar los discos duros originales del sistema atacado a una estación de trabajo independiente para intentar hacer un análisis en caliente del sistema, deberá tomar la precaución de montar los dispositivos en modo sólo lectura, esto se puede hacer con sistemas an triones UNIX/Linux, pero no con entornos Windows.
8.1. Preparación para el análisis: El entorno del trabajo Antes de comenzar el análisis de las evidencias deberá acondicionar un entorno de trabajo adecuado al estudio que desee realizar. Si se decanta por no tocar los discos duros originales ¡muy recomendable y trabajar con las imágenes que recopiló como evidencias, o mejor aún con una copia de éstas, tenga en cuenta que necesitará montar esas imágenes tal cual estaban en el sistema comprometido. Si dispone de recursos su cientes prepare dos estaciones de trabajo, en una de ellas, que contendrá al menos dos discos duros, instale un sistema operativo que actuará de an trión y
8.2 Reconstrucción de la secuencia temporal del ataque Supongamos que ya tenemos montadas las imágenes del sistema comprometido en nuestra estación de trabajo independiente y con un sistema operativo an trión de con anza. El primer paso que deberá dar es crear una línea temporal de sucesos o timeline, para ello 76
suelen almacenarse por bloques cuyo tamaño de clúster depende del tipo de sistema de archivos que se emplee), y leer en zonas que el sistema operativo no ve.
con anza. El primer paso que deberá dar es crear una línea temporal de sucesos o timeline, para ello recopile la siguiente información sobre los cheros: Inodos asociados.
Piense que está buscando una aguja en un pajar , por lo que deberá ser metódico, vaya de lo general a lo particular, por ejemplo, parta de los archivos borrados, intente recuperar su contenido, anote su fecha de borrado y cotéjela con la actividad del resto de los archivos, puede que en esos momentos se estuviesen dando los primeros pasos del ataque.
Marcas de tiempo MACD (fecha y hora de modi cación, acceso, creación y borrado). Ruta completa. Tamaño en bytes y tipo de chero.
Sin perder de vista ese timestamp anterior, comience a examinar ahora con más detalle los cheros Log's y de registros que ya ojeó durante la búsqueda de indicios del ataque, intente buscar una correlación temporal entre eventos. Piense que los archivos log y de registro son generados de forma automática por el propio sistema operativo o por aplicaciones especí cas, conteniendo datos sobre accesos al equipo, errores de inicialización, creación o modi cación de usuarios, estado del sistema, etc. Por lo que tendremos que buscar nuevamente entradas anómalas y compararlas con la actividad de los cheros. Edite también el archivo de contra- señas y busque la creación de usuarios y cuentas extrañas sobre la hora que considere se inició el compromiso del sistema
Usuarios y grupos a quien pertenece. Permisos de acceso. Si fue borrado o no. Sin duda esta será la información que más tiempo le llevará recopilar, pero será el punto de partida para su análisis, podría plantearse aquí dedicar un poco de tiempo a preparar un script que automatizase el proceso de creación del timeline, empleando los comandos que le proporciona el sistema operativo y su ToolKit. Para comenzar ordene los archivos por sus fechas MAC, esta primera comprobación, aunque simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema operativo, por lo que un sistema que se instaló hace meses y que fue comprometido recientemente presentará en los cheros nuevos y fechas MAC muy distintas a las de los cheros más antiguos.
8.3 Determinación de cómo se realizó el ataque Una vez que disponga de la cadena de acontecimientos que se han producido, deberá determinar cuál fue la vía de entrada a su sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha. Estos datos, al igual que en el caso anterior, deberá obtenerlos de forma metódica, empleando una combinación de consultas a archivos de logs, registro, claves, cuentas de usuarios, etc.
La idea es buscar cheros y directorios que han sido creados, modi cados o borrados recientemente, o instalaciones de programas posteriores a la del sistema operativo y que además se encuentren en rutas poco comunes. Piense que la mayoría de los atacantes y sus herramientas crearán directorios y descargarán sus aplicaciones en lugares donde no se suele mirar, como por ejemplo en los directorios temporales.
Un buen punto de partida es repasar los servicios y procesos abiertos que recopiló como evidencia volátil, así como los puertos TCP/UDP y conexiones que estaban abiertas cuando el sistema estaba aún vivo . Examine con más detalle aquellas circunstancias que le resultaron sospechosas cuando buscó indicios sobre el ataque, y realice con ellos un búsqueda de vulnerabilidades a través de Internet, emplee Google o utilice páginas especí cas donde encontrará perfectamente documentadas cientos de vulnerabilidades, como por ejemplo el CERT, https://www.kb.cert.org/vuls/ https://www.securityfocus.com/
A modo de guía céntrese primero en buscar los archivos de sistema modi cados tras la instalación del sistema operativo, averigüe después la ubicación de los archivos ocultos y écheles un vistazo a ver dónde están y de qué tipo son, busque también los archivos borrados o fragmentos de éstos, pues pueden ser restos de Log's y registros borrados por sus atacantes. Aquí cabe destacar nuevamente la importancia de realizar imágenes de los discos pues podremos acceder al espacio residual que hay detrás de cada archivo, (recordemos que los cheros 77
además busque entre las entradas a los logs de conexiones. También puede indagar entre los archivos borrados que recuperó por si el atacante eliminó alguna huella que quedaba en ellos.
Siguiendo con el ejemplo anterior, se sospechaba que al ataque se inició a través del servicio FTP que ejecutaba la máquina comprometida, se conocía una vulnerabilidad en dicho servicio y al realizar la consulta correspondiente se descubrió que efectivamente, ésta máquina era vulnerable pues no había sido instalado el parche de seguridad correspondiente, ¿recuerda el punto 1 del apartado Prevención de ataques a sistemas Pero no se confíe piense que si existía esa vulnerabilidad puede que haya otras, realice el proceso de búsqueda cuantas veces crea necesario, se imagina que ocurriría si volviese a instalar el sistema y dejase otra brecha de seguridad.
La identi cación de sus atacantes será de especial importancia si tiene pensado llevar a cabo acciones legales posteriores o investigaciones internas a su organización. Si no va a seguir estos pasos, puede saltarse esta fase y dedicar ese tiempo a otros menesteres, como por ejemplo recuperar completamente el sistema atacado y mejorar su seguridad. Pero si decide perseguir a sus atacantes, deberá realizar algunas pesquisas como parte del proceso de identi cación. Primero intente averiguar la dirección IP de su atacante, para ello revise con detenimiento los registros de conexiones de red y los procesos y servicios que se encontraban a la escucha. También podría encontrar esta información en fragmentos de las evidencias volátiles, la memoria virtual o archivos temporales y borrados, como restos de email, conexiones fallidas, etc.
Si ya tiene claro cuál fue la vulnerabilidad que dejó su sistema al desnudo , vaya un paso más allá y busque en Internet algún exploit anterior a la fecha del compromiso, que utilice esa vulnerabilidad. Generalmente lo encontrará en forma de rootkit y un buen lugar donde comenzar su búsqueda es, nuevamente, Google aunque también le será de utilidad anotar la siguiente dirección: www.packetstormsecurity.org. En este punto es muy importante que sea metódico, refuerce cada una de sus hipótesis empleando una formulación causa efecto, también es el momento de arrancar y comenzar a utilizar nuestra máquina conejillo de Indias . Pruebe sobre ella los exploits que ha encontrado, si he leído bien, No tenga miedo , recuerde que en el análisis forense una premisa es que los hechos han de ser reproducibles y sus resultados veri cables, por lo tanto, compruebe si la ejecución de ese exploit sobre una máquina igual que la comprometida y en perfecto estado (causa posible), genera los mismos eventos que ha encontrado entre sus evidencias (efecto veri cable).
Si cree tener una IP sospechosa, compruebe en el registro RIPE NCC (www.ripe.net) a quién pertenece. Pero ojo, no saque conclusiones prematuras, muchos atacantes falsi can la dirección IP con técnicas de spoo ng. Suponga que encuentra una dirección IP y tras consultar el registro RIPE, le aparece que está asignada a una importante entidad bancaria ¿cree sinceramente que un empleado de banca le ha atacado Otra técnica de ataque habitual consiste en utilizar ordenadores zombis , éstos son comprometidos en primera instancia por el atacante y posteriormente son utilizados como lanzaderas del ataque nal sin que sus propietarios sepan que están siendo cómplices de tal hecho. Por ello, para identi car a su atacante tendrá que veri car y validar la dirección IP obtenida.
Si no es tan atrevido, puede recurrir a las bases de datos sobre ataques de los hone pots, herramientas de seguridad informática (implantadas por hardware o por so ware), cuya intención es atraer a crackers o spammers, simulando ser sistemas vulnerables o débiles a los ataques, permitiendo recoger información sobre los atacantes y sus técnicas, permitiendo un examen en profundidad del atacante, durante y después del ataque al honeypot.
8.4 Identi cación del autor o autores del incidente
También puede emplear técnicas hacker, eso sí ¡DE FORMA ÉTICA , para identi car a su atacante, piense que, si este dejó ejecutándose en el equipo comprometido un regalito como una puerta trasera o un troyano, está claro que en el equipo del atacante deberán estar a la escucha esos programas y en los puertos correspondientes, bien esperando noticias o buscando nuevas víctimas. Aquí entra en juego nuevamente nuestro ordenador conejillo de indias .
Si ya ha logrado averiguar cómo entraron en sus sistemas, ahora le toca saber quién o quiénes lo hicieron. Para este propósito le será de utilidad consultar nuevamente algunas evidencias volátiles que recopiló en las primeras fases, revise las conexiones que estaban abiertas, en qué puertos y qué direcciones IP la solicitaron,
Si procede de esta forma, use una de las herramientas más impresionantes y baratas que encontrará mal, este mapeador de redes es una utilidad de código abierto (por lo tanto, gratuita) para exploración de redes y auditoría de seguridad. Se diseñó para analizar rápidamente grandes redes, aunque funciona muy bien 78
42
contra equipos individuales. Nmap utiliza paquetes IP "crudos" de forma novedosa, para determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de ltros de paquetes o cortafuegos se están utilizando y así hasta como docenas de características.... Una auténtica joya para los analistas de sistemas.
8.5 Evaluación del impacto causado al sistema Para poder evaluar el impacto causado al sistema, el análisis forense le ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que accedieron a sus sistemas. Esto le permitirá evaluar el compromiso de sus equipos y realizar una estimación del impacto causado. Generalmente se pueden dar dos tipos de ataques:
En este apartado también cabe la posibilidad de adentrarse en los bajos fondos de Internet para intentar buscar a sus atacantes, pues en ocasiones algunos de ellos se jactan de sus hazañas públicamente en foros y Chat, visite estos lugares y verá lo que uno puede llegar a aprender. Otro aspecto que le interesaría averiguar es el per l de sus atacantes, aunque sin entrar en detalles podrá encontrarse con los siguientes tipos de tipos :
8.5.1 Ataques pasivos: en los que no se altera la información ni la operación normal de los sistemas, limitándose el atacante a sgonear por ellos.
8.5.2 Ataques activos: en los que se altera, y en ocasiones seriamente,
8.4.1.1 Hackers: Son los más populares y tienen hasta su propia película
tanto la información como la capacidad de operación del sistema. Deberá tener en cuenta, además otros aspectos del ataque como los efectos negativos de tipo técnico que ha causado el incidente, tanto inmediatos como potenciales además de lo crítico que eran los sistemas atacados. Por ejemplo, ataques al cortafuego, el router de conexión a Internet o Intranet, el servidor Web corporativo, los servidores de bases de datos, tendrán diferente repercusión según el tipo de servicio o negocio que preste su organización y las relaciones de dependencia entre sus usuarios. Piense que una manipulación de una Web corporativa que realiza funciones meramente publicitarias tendrá un impacto mucho menor que si eso mismo ocurre por ejemplo en eBay, que su negocio está basado totalmente en las subastas por Internet y un parón en su servidor Web puede traducirse en miles de euros de pérdidas por cada hora.
(HACKERS de Iain So ley, 1995). Se trata de personas con conocimientos en técnicas de programación, redes, Internet y sistemas operativos. Sus ataques suelen tener motivaciones de tipo ideológico (paci stas, ecologistas, anti globalización, anti Microso , etc.) o simplemente lo consideran como un desafío intelectual .
8.4.1.2 SciptKiddies: Son una nueva especie que ha saltado a la escena de la delincuencia informática recientemente. Se trata de jóvenes que con unos conocimientos aceptables en Internet y programación emplean herramientas ya fabricadas por otros para realizar ataques y ver qué pasa . Su nombre viene de su corta edad y del uso intensivo que haces de los scripts (guiones) de ataque que encuentran por Internet.
Puede también recurrir a métodos como BIA (Bussines Impact Analysis) que le indicarán como determinar el impacto de eventos especí cos, permitiéndole valorar los daños en cantidades monetarias, que podrá presentar dado el caso, a su compañía de seguros.
8.4.1.3 Profesionales: Son personas con muchísimos conocimientos en lenguajes de programación, en redes y su equipamiento (routers, rewall, etc.), Internet y sistemas operativos tipo UNIX. Suelen realizar los ataques taques bajo encargo, por lo que su forma de trabajar implica una exhaustiva preparación del mismo, realizando un estudio meticuloso de todo el proceso que llevará a cabo, recopilando toda la información posible sobre sus objetivos, se posicionará estratégicamente cerca de ellos, realizará un tanteo con ataques en los que no modi cará nada ni dejará huellas... cuando lo tenga todo bien atado entonces atacará... pero tranquilo, este tipo de atacantes se encuentra muy poco y además se dedica a dar grandes golpes.
Pero no piense sólo en los daños y pérdidas actuales, sino que tendrá que pensar en daños potenciales, si no conoce qué actividades han llevado a cabo los atacantes, no sabrá hasta dónde han podido fastidiarle sus sistemas, o peor aún, hasta dónde pueden llegar, pues ¿qué ocurriría si desconoce que su atacante consiguió descargarse un archivo que contenía datos de carácter personal de sus empleados , y peor aún, ¿qué pasaría si el atacante alardeando de su proeza publica esos cheros en Internet .
79
42 Más información nmap
3. Son infracciones graves: h) Mantener los cheros locales, programas o equipos que contengan de character personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
8.8 Herramientas para Análisis Forense Digital Hasta ahora se han desarrollado las fases del análisis forense de sistemas centrándonos en la utilización bien herramientas del sistema operativo o las propias del ToolKit que creamos como parte de nuestro plan de respuestas ante incidentes, por lo que hemos realizado la investigación de forma manual. Pero habrá podido comprobar que una de las di cultades que se encontrará el investigador a la hora de analizar determinadas evidencias digitales es que los atacantes emplean cada vez herramientas más sigilosas y perfeccionadas para realizar sus asaltos. Por lo tanto, no estará de más disponer de un conjunto de herramientas especí cas para el análisis de evidencias que nos ayudaran a completar de forma más e ciente nuestra investigación.
8.6 Documentación del Sistema Tan pronto como el incidente haya sido detectado, es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que nalice el proceso de análisis forense, esto le hará ser más e ciente y efectivo al tiempo que reducirá las posibilidades de error a la hora de gestionar el incidente. Por otro lado, cuando se haya concluido el análisis y durante éste, tendrá que mantener informados a las personas adecuadas de la organización, por lo que será interesante que disponga de diversos métodos de comunicación. Además, como se verá necesitará tener preparados una serie de formularios y presentar tras la resolución del incidente al menos dos tipos de informes uno Técnico y otro Ejecutivo.
Dejando aparte el so ware comercial, en el que podrá encontrar herramientas especí cas como EnCase de la empresa Guidance So ware, considerado un estándar en el análisis forense de sistemas, nos centraremos en herramientas de código abierto (Open Source) que podrá descargar libremente desde la página sus correspondientes autores o miembros del proyecto.
8.8.1 So ware de libre Distribución y Open Source
8.7 Utilización de formularios de registro
Vamos a comenzar con una recopilación de herramientas que necesitan ser ejecutadas bajo un sistema operativo an trión, bien sea MS Windows o UNIX/Linux.
Al hilo de lo comentado anteriormente, el empleo de formularios puede ayudarle bastante en este propósito. Éstos deberán ser rellenados por los departamentos afectados por el compromiso o por el propio equipo que gestionará el incidente. Alguno de los formularios que debería preparar serán:
8.8.2 e Forensic ToolKit Se trata de una colección de herramientas forenses para plataforma Windows, creada por el equipo de Foundstone. Puede descargarlo desde: www.foundstone.com, donde además encontrará gran cantidad de herramientas de seguridad. Este ToolKit le permitirá recopilar información sobre el ataque, y se compone de una serie aplicaciones en línea de comandos que permiten generar diversos informes y estadísticas del sistema de archivos a estudiar. Para poder utilizarlos deberá disponer de un intérprete de comandos como cmd.exe.
Documento de custodia de la evidencia. Formulario de identi cación de equipos y componentes. Formulario de incidencias tipi cadas. Formulario de publicación del incidente. Formulario de recogida de evidencias. Formulario de discos duros.
80
8.8.3 e sleuth kit y Autopsy Este conjunto, cuyo autor es Brian Carrier, consiste en una colección de herramientas forenses para entornos UNIX/Linux, que incluye algunas partes del conocido e Coroners ToolKit (TCT) de Dan Farmer. Puede analizar archivos de datos de evidencias generadas con utilidades de disco como por ejemplo dd. Pese a ser de libre distribución (puede descargarlo del sitio Web www.sleuthkit.org) ofrece más detalle que algunos programas de pago. Incluye funciones como registro de casos separados e investigaciones múltiples, acceso a estructuras de archivos y directorios de bajo nivel y eliminados, genera la línea temporal de actividad de los archivos (timestamp), permite buscar datos dentro de las imágenes por palabras clave, permite crear notas del investigador e incluso genera informes... y mucho más. Este ToolKit puede funcionar conjuntamente con el Autopsy Forensic Browser, consistente en una interfaz grá ca que le facilitará notablemente su labor a la par que le permitirá generar vistosos salidas grá cas para sus informes. Para analizar sus datos empleando este ToolKit dedique el tiempo necesario a su con guración inicial, que luego agradecerá, pues dispondrá de una poderosa herramienta forense para organizar y estudiar sus evidencias. Debido a la gran cantidad de opciones se necesitaría un documento solamente dedicado a esta herramienta, así que, a modo de resumen, algunas de las funciones básicas con las que podrá contar son las siguientes opciones de análisis:
81
Como se indicó al inicio de este apartado, las herramientas expuestas anteriormente necesitan de la ejecución sobre un sistema operativo ya instalado. En ocasiones le será de gran utilidad disponer de un entorno tipo Live, que le permita realizar un examen forense de imágenes sin tener que dedicar un equipo especí co para ello y sin necesidad cargar otro sistema operativo. Estas soluciones suelen encontrarse en CDs o DVDs preparados para tal n, veamos alguno de ellos.
Este live CD está creado y mantenido por William Salusky y puede descargarse gratuitamente desde la dirección: http://biatchux.dmzs.com. En esta interesantísima distribución podrá disponer de una serie de funcionalidades que le aportará muchas ventajas en su análisis, entre las que cabe destacar: Recolección de datos de un sistema informático comprometido y hacer un análisis forense. Chequear la existencia de virus o malware en general desde un entorno able. Posibilidad de realización de test de penetración y vulnerabilidad. Recuperación datos de particiones dañadas.
8.8.4 HELIX CD Se trata de un Live CD de respuesta ante incidentes, basado en una distribución Linux denominada Knoppix. Posee la mayoría de las herramientas necesarias para realizar un análisis forense tanto de equipos como de imágenes de discos. Puede descargarlo gratuitamente de:
Las herramientas que posee F.I.R.E son conocidas y muy recomendables, aunque sin entrar en detalles sobre cada una de ellas, podrá encontrar las siguientes: Nessus, nmap, whisker, hping2, hunt, fragrouter.
http://www.e-fense.com/helix/.
Ethereal, Snort, tcpdump, ettercap, dsni , airsnort.
Este CD ofrece dos modos de funcionamiento, tras ejecutarlo nos permitirá elegir entre arrancar un entorno MS Windows o uno tipo Linux. En el primero de ellos disponemos de un entorno con un conjunto de herramientas, casi 90 Mb, que nos permitirá principalmente interactuar con sistemas vivos , pudiendo recuperar la información volátil del sistema. En el arranque Linux, disponemos de un Sistema Operativo completo, con un núcleo modi cado para conseguir una excelente detección de hardware, no realiza el montaje de particiones swap, ni ninguna otra operación sobre el disco duro del equipo sobre el que se arranque.
Chkrootkit, F-Prot TCT, Autopsy Testdisk, fdisk, gpart SSH (cliente y servidor), VNC (cliente y servidor ) Mozilla, ircll, mc, Perl, biew, fenris, pgp.
Es ideal para el análisis de equipos muertos , sin que se modi quen las evidencias pues montará los discos que encuentre en el sistema en modo sólo lectura. Además de los comandos de análisis propios de los entornos UNIX/Linux, se han incorporado una lista realmente interesante de herramientas y ToolKits, alguno de ellos comentados anteriormente como el Sleuth Kit y Autopsy.
A la hora de realizar el análisis de la información recopilada se debe tener presente el tipo de incidente al que se pretende ofrecer respuesta. Dependiendo del caso puede resultar útil analizar en profundidad diferentes aspectos como: MFT o Master File Table: corresponde a la tabla que almacena información sobre los cheros almacenados en el disco. Almacena información como el nombre, fechas de acceso, creación y modi cación, ubicación de los datos en disco, etc.
8.8.5 F.I.R.E. Linux Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y análisis forense, compuesto por una distribución Linux a la que se le han añadido una serie de utilidades de seguridad, junto con un interfaz grá co que hace realmente fácil su uso. Al igual que el kit anterior, por su forma de montar los discos no realiza ninguna modi cación sobre los equipos en los que se ejecute, por lo que puede ser utilizado con seguridad. 82
Archivo de paginación (Page le.sys): es un chero que permite optimizar el uso de la memoria RAM ya que el sistema operativo envía ahí temporalmente la información que no sea necesaria en ese momento para los procesos en ejecución y posteriormente la recupera en el caso de que alguno la solicite.
Papelera de reciclaje.
Documentar todos y cada uno de los pasos realizados durante el proceso, manteniendo una bitácora con fechas y horas de cada acción realizada sobre las evidencias.
Espacio no asignado: corresponde al espacio en disco disponible para almacenar información. Cuando se elimina un chero en Windows, el sistema operativo elimina la referencia a dicha información, pero no la información en sí, sino que sólo la marca como sobre escribible. Es por ello que tal información puede ser recuperada mediante diferentes métodos.
Elaborar dos tipos de informe de conclusiones: uno ejecutivo y uno técnico.
8.10 Análisis y sus técnicas
Registro de Windows: en el registro de Windows se almacena muy diversa información como por ejemplo las redes a las que se ha conectado el equipo, el listado de páginas visitadas, los archivos abiertos recientemente, las aplicaciones instaladas, el histórico de dispositivos USB conectados, etc.
Para el análisis de la información existen diferentes técnicas que pueden ser aplicadas, las cuales dependen de la información que se desee recolectar, como se está haciendo uso de la distribución CAINE, se empleara el so ware Autopsy para el análisis de las evidencias recolectadas a continuación se presenta en detalle los pasos a seguir para realizar el proceso según sea el tipo de datos que se busca identi car.
Slack Space: hace referencia al espacio libre que queda en un clúster (conjunto contiguo de sectores que componen la unidad más pequeña de almacenamiento de información en un disco) tras almacenar un chero. Toma de evidencias en entornos Windows 10.
1. Inicialmente se hace necesario identi car si se trata de una imagen de disco, una partición u otro tipo de imagen, para este propósito se analizan los primeros bytes de la imagen con un editor hexadecimal, como Hex Editor (Ghex) que se encuentra en la distribución CAINE.
Trá co de red. Procesos del sistema.
2. Continúe iniciando el so ware Autopsy4 Logs del sistema: como por ejemplo el registro de sucesos relativos al sistema, a la seguridad o a las aplicaciones. Es fundamental que todo el proceso sea realizado desde un punto de vista objetivo, sin descartar lo que para el analista pueda ser considerado como obvio.
3. Ingrese los datos referentes al caso Nombre del caso Descripción Datos de los investigadores Zona Horaria Tiempo de desincronización de ajuste Ruta de la imagen opcional si la copia del archivo está dañada Ruta de la imagen opcional si la copia del archivo se encuentra bien
8.9 Documentación Un aspecto fundamental en el proceso del análisis forense es el de la documentación por lo que se debe realizar dicha fase de una manera muy metódica y detallada. Se pueden realizar, entre otras, las siguientes acciones:
4. Adicione la imagen con la cual se va a realizar el análisis, se recomienda emplear imágenes con extensión .img, llene los siguientes datos:
Tomar imágenes Fotográ cas de las pruebas.
Ubicación Tipo de imagen (Disco o partición) Método de importación
La Cadena de custodia.
83
evidencias relevantes. Ademas, el investigador siempre debe suponer que puede existir información no visible dentro del medio, pero teniendo en cuenta que este no es siempre el caso y que es parte de se labor determinar la realidad en cuento a este proyecto un gran obstáculo que se puede presentar durante la investigación, es encontrarse con información cifrada anterior se explico, en muchos casos solo sera posible tener acceso a ella si se dispone de la contraseña o llave que permita visualizarla. Una vez se ha recuperado o se ha encontrado información que podría ser relevante, es necesario realizar un proceso de ltrado que permita extraer la información directamente relacionada con el incidente.
5. Calcule el valor hash MD5 de la imagen y compárelo con el valor generado al momento de recolectar la información para determinar la valides de la imagen, llene el formulario de registro de evidencias al igual que obtenga una imagen de la pantalla para el registro de la documentación. 6. En primer lugar, se hace necesario responder a las siguientes interrogantes, con el análisis de la imagen que se tiene por evidencia, ya sea en el lugar del hecho o en el laboratorio, para la realización del estudio se empleara alguna de las herramientas disponibles en el compilado CAINE, sin embargo, se aplicara como herramienta principal para la recolección de evidencias Autopsy tal y como se presenta a continuación:
Se debe realizar un procedimiento de limpieza que por un lado conserve la integridad de la información recolectada y que por otro represente en su totalidad el escenario analizado. Una vez se han descartado los datos que no tienen ninguna relevancia con la investigación, se debe iniciar el proceso de clasi cación, comparación e individualización de la evidencia. La clasi cación de la evidencia digital, es el proceso por el cual se buscan características que pueden ser utilizadas para describirla en termino generales y distinguirla de especímenes similares. La clasi cación e la evidencia digital es útil al reconstruir un delito porque puede proveer detalles adicionales, es decir, cuando se combinan estos detalles pueden guiar al investigador hacia evidencias adicionales, e inclusive hacia el mismo sospechoso del hecho en cuestión.
7. Una vez identi cados los elementos anteriormente seleccionados, volver a generar la autenticación matemática de los datos a través del algoritmo de hash al nalizar la detección, recolección y registro, para validar los resultados obtenidos, de igual manera a medida que se va realizando el proceso de recolección de información debe documentarse todo el proceso en los formularios correspondientes y en el so ware Autopsy que se emplea como herramienta principal para el análisis de evidencias. 8. Se debe realizar un proceso documentado en el cual se describa la forma en la que se conservan las copias del so ware utilizado y realizar el proceso de almacenamiento nal de las mismas.
La evidencia digital puede ser clasi cada, comparada e individualizada de diferentes maneras, las cuales deben ser utilizadas a criterio del investigador basado en la evidencia que se haya recolectado hasta el momento.
8.11 Análisis de la Evidencia Digital La clave de una buena investigación esta basada en lo que el investigador perciba del entorno donde se encuentra, al tener el primer contacto con la escuela del delito se hace necesario que por intuición recree los todos posibles hechos, como segunda medida se hace necesario que la persona encargada de la manipulación de la evidencia sea conocedora del tema informático y que ademas de saber sobre el funcionamiento limites y vulnerabilidad de la información que posiblemente pueda recolectar. Para adelantar las tareas de análisis se sugiera realizar dos copias de seguridad (Backups) de los medios originales y trabajar sobre tales copias. Si se comete un error que altere la información de una de las copias, se puede minimizar el impacto en la investigación realizando de nuevo un duplicado a partir de la otra copia y no se perderá la validez e integridad de la evidencia.
Contenido: Un e-mail, por ejemplo puede ser clasi cado por su contenido como SPAM, y puede ser individualizado a partir del contenido de sus encabezados información que por lo general no es visible para el usuario. Por ejemplo, por su dirección de origen. Función: El investigador puede examinar cómo funciona un programa para clasi carlo y algunas veces individualizarlo. Por ejemplo, un programa que inesperadamente trans ere información valiosa desde un computador con able a una locación remota podría ser clasi cada como un caballo de troya y puede ser individualizado por la localización remota a la que trans ere la información.
La tarea de recuperación y construcción de la evidencia digital, requiere que se bisque e cientemente sobre el contenido de diferentes medios de almacenamiento con el n de identi car 84
Características: Los nombres de inclusive los encabezados internos que identi can los diferentes formatos de archivo que existen pueden ser de utilidad en la clasi cación de la evidencia digital.
A menudo, este esfuerzo incluirá la correlación de datos entre múltiples fuentes. Por ejemplo, un registro del sistema de detección de intrusos de red (IDS) puede vincular un evento a un host, los registros de auditoría del host pueden vincular el evento a una cuenta de usuario especí ca y el registro IDS del host puede indicar qué acciones realizó ese usuario.
Para nalizar, en necesario reconstruir el escenario en el que ocurrieron los hechos a partir de la correlación de los diferentes elementos recolectados como evidencia. Es importante tener en cuenta, en lo posible, información diferente de la evidencia digital al reconstruir la escena. Una de las características de los delitos informáticos es que la escena del crimen puede estar distribuida en diferentes sistemas con diferentes horarios, que por supuesto, pueden estar localizados físicamente en jurisdicciones diferentes, lo que en muchos casos difíciles y/o termina prematuramente una investigación ya que no es posible tener acceso a evidencia que podría ser clave para conocer en cuánto, cómo, dónde y por qué del incidente. Para los investigadores, éste es uno de los mayores obstáculos que se presentan al realizar una investigación, adicionalmente, muchos de los delitos de alta tecnología, a pesar de ser cometidos desde sistemas locales, se realizan desde cafés internet , en los cuales , debido a la falta de regulación, el alto grado digital de anonimato y la alta actividad que presentan estos sistemas hacen que la evidencia digital que se encuentra en éstos tenga un tiempo de vida muy corto y por consiguiente la investigación solo pueda llegar hasta ese punto.
Herramientas tales como el registro centralizado y el so ware de gestión de eventos de seguridad pueden facilitar este proceso reuniendo y correlacionando automáticamente los datos. La comparación de las características del sistema con las líneas de base conocidas puede identi car varios tipos de cambios realizados en el sistema.
Guía para integrar técnicas forenses en la respuesta a incidentes Esta publicación está diseñada para ayudar a las organizaciones a investigar incidentes de seguridad informática y solucionar algunos problemas operativos de la tecnología de la información (TI) proporcionando una guía práctica sobre la realización de análisis forenses de computadoras y redes. Especí camente, la publicación describe los procesos para llevar a cabo actividades forenses efectivas y proporciona asesoramiento sobre diferentes fuentes de datos, incluyendo archivos, sistemas operativos (SO), trá co de red y aplicaciones.
Guía de Toma de Evidencias en entornos Windows: Este documento proporciona información relacionada con el análisis forense digital, y en concreto en entornos Windows. Se centra en el proceso de toma de evidencias, realizándose las pruebas sobre Windows XP (pese a que haya nalizado su soporte, aún tiene una cuota de mercado importante), Windows 7, Windows 8 y 8.1, si bien los ejemplos indicados son aplicables en muchos casos a otras versiones del sistema operativo al tener una estructura similar.
URL: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublicatio n800-86.pdf
URL: https://www.certsi.es/sites/default/ les/contenidos/guias/doc/incibe_toma_evi dencias_analisis_forense.pdf
Una vez extraída la información relevante, el analista debe estudiar y analizar los datos para sacar conclusiones de la misma. La base de la investigación forense está utilizando un enfoque metódico para llegar a conclusiones apropiadas basadas en los datos disponibles o determinar que aún no se puede sacar ninguna conclusión. El análisis debe incluir la identi cación de personas, lugares, elementos y eventos, y la determinación de cómo estos elementos están relacionados para que se pueda llegar a una conclusión. 85
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Presentación de las Evidencias Digitales
Tipo de Evidencia
Aplica para todos los dispositivos
Versión
1
Fecha
17 de Octubre de 2017
En la actividad presentación de las evidencias digitales se realiza dos tipos de informes:
9.1 El informe Ejecutivo
9 El informe técnico
Este informe consiste en un resumen del análisis efectuado, pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado. Constará de pocas páginas, entre tres y cinco, y será de especial interés para exponer lo sucedido a personal no especializado en sistemas informáticos, como pueda ser el departamento de Recursos Humanos,
Este informe consiste en una exposición detallada del análisis efectuado. Deberá describir en profundidad la metodología, técnicas y hallazgos del equipo forense. A modo de orientación, deberá contener, al menos, los siguientes puntos: Antecedentes del incidente. Recolección de los datos. Descripción de la evidencia. Entorno del análisis. Descripción de las herramientas. Análisis de la evidencia. Información del sistema analizado.
Administración, e incluso algunos directivos. En este informe deberá, donde se describir, al menos, lo siguiente: Motivos de la intrusión. Desarrollo de la intrusión Resultados del análisis. Recomendaciones.
Características del SO. Aplicaciones. Servicios. Vulnerabilidades. Metodología.
La fase nal del procedimiento de evidencia digital la presentación, el cuál presenta toda la información y la evidencia obtenida en la fase de análisis. Este reporte debería contemplar los siguientes aspectos:
Descripción de los hallazgos.
Resultado de los análisis. Cómo y por qué fueron utilizadas las diferentes herramientas y procedimientos para recolectar y analizar la información, eso sustentará el trabajo realizado. Se debe tener en cuenta la audiencia a la cual se presentará el informe, dado que, si debe presentarse a nivel gerencial, el contenido técnico no debe tener la misma densidad que para un grupo de ingeniería, ya que en este punto es probable que se deba indicar exactamente
Huellas de la intrusión. Herramientas usadas por el atacante. Alcance de la intrusión. El origen del ataque Cronología de la intrusión. Conclusiones. Recomendaciones especí cas. Referencias.
86
¿Qué ocurrió ,
irrelevancia de la información por caducidad en el tiempo
¿En qué plataforma ,
Asegúrese de mantener acreditaciones, ejecutar los procedimientos de punta o el estado del arte en materia de recolección de información digital
¿Qué tipo de ataque fue realizado , sus consecuencias y las posibles contramedidas para evitar que ocurra nuevamente.
Asegurarse de mantener el material de trabajo su ciente y necesario para adelantar la investigación y la recolección de información como Cuadernos de notas, Cintas, grabadores de datos, equipos de cómputo, correo electrónico etc.
Acciones a tomar (si es para remediar algún incidente o crimen), como por ejemplo mejorar determinados controles de seguridad, reducir alguna vulnerabilidad encontrada, refuerzo en el entrenamiento del personal (sea usuario nal o equipo de respuesta a incidentes), todo esto depende de contexto del incidente.
Identi que la idoneidad de los investigadores en materia informática.
Determinar si es necesario realizar más estudios para llegar a una conclusión de nitiva o si únicamente es posible llegar a explicaciones alternativas o hipótesis, estas deben ir plasmadas en el documento con su justi cación respectiva.
Contar con un formato de presentación de informe de análisis de 44 evidencia. a. Para presentar la evidencia digital se debe presentar a la corte la forma en que se buscó la presencia de evidencia digital garantizando que no se violó ninguna norma de protección de datos, privacidad, o derechos constitucionales, códigos de procedimiento, leyes, decretos, etc. en la búsqueda de la evidencia digital.
Recomendaciones relacionadas a mejoramiento en las políticas, procedimientos, herramientas de detección y otras observaciones para mejorar el proceso forense. Mantener una copia de la cadena de custodia y de la noti cación o cial para adelantar el análisis de los registros electrónicos.
b. Mostrar el procedimiento empleado para la copia y recolección de datos
Incluir las irregularidades encontradas o cualquier acción que pudiese ser irregular durante el análisis de la evidencia.
c. Mostrar el procedimiento empleado para el análisis de los datos recolectados
Preparar una presentación del caso de manera pedagógica, que permita a las partes observar claramente el contexto del caso y las evidencias identi cadas.
d. Mostrar el procedimiento empleado para el almacenamiento de los datos
Detallar las conclusiones de los análisis realizados sustentados en los hechos identi cados. Evitar los juicios de valor o a rmaciones no veri cables.
e. Demostrar la competencia de investigador como experiencia, certi caciones, etc. f. Presentar las notas forenses
9.2 Consideraciones Adicionales43
a. Se deben preparar la nota forense y almacenarlas según lo estipulado por cada país
Siempre se debe ofrecer una copia exacta a la otra parte del con icto legal a n de garantizar el debido proceso, garantizando que la defensa tenga acceso a un computador limpio de características iguales al dispositivo original y un espacio de trabajo apropiado para realizar sus propios exámenes forenses.
b. Mantenerlas ordenadas según cada hallazgo g. Reportes a. Se deben presentar los reportes solicitados por la corte según se ajusten a procedimientos civiles o criminales
Documente siempre que sea posible los tiempos de retención de la información en algunas legislaciones se puede argumentar la 87
43 Extraído de: docentes unal 44 Tomado de: http://52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/Jeimy Cano_VIJNSI.pdf
b. Incluir en los reportes de evidencia forense
9.2.4 Apego y respeto por leyes y poder judicial: Es preciso resaltar
I. Las opiniones relevantes que el experto emita
este elemento que establece que es necesario que la evidencia digital tenga el mismo tratamiento procedimental correspondiente a la normatividad contenida en Códigos de Procedimiento sin desconocer además que dicha clase de evidencia, por encontrarse en el especial medio contenida, debe tener ciertos cuidados de recolección, aseguramiento, análisis y reporte para garantizar su autenticidad, con abilidad y su ciencia.
II. La base teórica o prácticas para emitir el concepto III. Incluir una hoja de vida que demuestre su experiencia IV. Instancias en las cuales el examinador es considerado como experto
9.3 Documentación de los procedimientos efectuados por el perito o experto a cargo
Las pruebas sustantivas presentadas a la corte deben ser relevantes para el caso mostrando las partes técnicas correspondientes La evidencia digital ante la corte tiene que tener unos criterios de admisibilidad para que esta tenga de valor probatorio:
Conservación de una bitácora de uso y aplicación de los procedimientos técnicos utilizados Cumplimiento exhaustivo de los procesos previstos en relación con la cadena de custodia.
9.2.1 Autenticidad: Hace referencia a cómo fue generada y
Importante :45 Computer Forensic : es el proceso de identi cación, preservación, análisis y presentación de evidencias digitales en una forma que sea legalmente aceptable en cualquier proceso judicial o administrativo . Recuperar y analizar la información demostrando que no hay manipulación (uso de algoritmos de Hash – MD5, SHA-1).
almacenada la evidencia que pretende hacerse valer dentro de un proceso La evidencia es auténtica cuando se demuestra que el mensaje de datos proviene de quien dice provenir y el mismo se ha mantenido incólume durante el tiempo en que ha permanecido almacenado.
Las acciones tomadas para recoger la evidencia digital no deben nunca afectar la integridad de la misma.
9.2.2 Con abilidad: Se re ere a que los generadores del mensaje son
Las personas encargadas de manejar y recoger evidencia digital deben ser entrenadas para tal n.
factibles y plausibles. Esta característica está íntimamente ligada con el sistema o programa creador o almacenador del mensaje de datos, que deberá presentar garantías y estar presto a que se generen auditorias sobre los mismos.
Las actividades dirigidas a examinar, conservar o transferir evidencia digital deben ser documentadas y reservadas para una futura revisión. Nota: Se tipi co en la mayoría de los países de Latinoamérica de habla hispana delitos contra violación a la intimidad, reserva e interceptación de telecomunicaciones
9.2.3 Su ciencia o completitud de las pruebas: El convencimiento que tiene la evidencia digital frente a unos hechos especí cos. Así, no sólo será entonces necesaria la exhibición de mensaje de datos, sino que, es aconsejable que, al momento de allegar las pruebas dentro del proceso se explique la tecnología utilizada, los procesos implementados de creación y almacenamiento de datos, la exhibición de los certi cados digitales de existir, etc. Con el n de respaldar de manera – su ciente – los documentos electrónicos incorporados al proceso.
88
45 Tomado de chrome-extension://gbkeegbaiigmenfmjfclcdgdpimamgkj/views/app.html
Es importante proporcionar herramientas, métodos y procedimientos que aseguren la misma seguridad para las evidencias 46 digitales. Las fases de presentación de las evidencias digitales deben ser accesibles y comprensibles las conclusiones que se han obtenido en el proceso de análisis forense. Para ello, es recomendable seguir las siguientes pautas:47 Preparar una presentación de manera pedagógica que sea fácilmente comprensible. Detallar las conclusiones. Explicar de manera clara el proceso que se ha llevado para la obtención de las evidencias. Evitar las a rmaciones no demostrables o los juicios de valor. Elaborar las conclusiones desde un punto de vista objetivo.
Hay que tener presente que las fases no son secuenciales, sino que están entrelazadas entre sí. Por ejemplo, la fase de documentación comienza en la fase de preservación.
89
46 https://web.ua.es 47 Tomado de certsi
MANUAL PARA EL MANEJO DE LA EVIDENCIA DIGITAL Proceso
Cadena de Custodia
Actividad
Network forensic
Tipo de Evidencia
Aplica para todos los dispositivos
Versión
1
Fecha
17 de Octubre de 2017
A Road Map for Digital Forensic Research
10. Derivación de Computación Forense
Proporciona información exacta derivada del uso de tecnologías probadas y bien Metodologías ha sido siempre el objetivo del análisis forense tradicional. Ciencia forense Aplicada en los tribunales ha tratado de utilizar técnicas y herramientas de uso común sólo después de Pruebas rigurosas y repetitivas y análisis cientí cos completos
El análisis forense de la red se de ne en como "el uso de Técnicas probadas para recopilar, fusionar, identi car, examinar, correlacionar, Analizar y documentar la evidencia digital de múltiples Procesamiento y transmisión de fuentes digitales con el n de Descubrimiento de hechos relacionados con la intención plani cada, o Actividades no autorizadas destinadas a alterar, corromper y / o Comprometer los componentes del sistema, así como proporcionar Para ayudar en respuesta o recuperación de estas actividades ". Ranum]49se acredita con la de nición de forenses de la red como "el Captura, registro y análisis de eventos de red con el n de Descubrir la fuente de los ataques de seguridad". 48
URL: http://dfrws.org/sites/default/ les/session les/a_road_map_for_digital _forensic_research.pdf
10.1 Recomendaciones Trabajar con evidencias digitales en red representa ciertos desafíos para el investigador. Los datos en los sistemas de red son volátiles y dinámicos, haciendo difícil tomar una fotografía en un instante de tiempo. A diferencia de un PC es difícil tener abajo un ambiente de red. Uno de los retos de los investigadores forenses es asegurar la evidencia con la mínima interrupción de la operacional del negocio que confía en la red. Debido a la diversidad de ambientes de red se debe seleccionar los procedimientos adecuados para recoger de ellas la mejor información Aislar una escena del crimen es más difícil debido a que tenemos un contexto multidimensional, se pueden presentar en varios escenarios de red y a su vez en cualquier momento. Al tener la evidencia digital en varios contextos y ambientes genera ventajas con relación a la eliminación de la evidencia digital.
Red forense Consiste en supervisar el trá co de la red y determinar si hay un Anomalía en el trá co y determinar si indica un ataque. Si es así, también se determina la naturaleza del ataque. El trá co de red es capturado, conservado, analizado y un incidente Respuesta se invoca inmediatamente. El término forense de redes se ha utilizado con creciente regularidad durante algún tiempo. Aunque no existe una de nición o cial, el término se utiliza comúnmente para describir la Analizar la información recopilada en las redes activas de diversas detecciones de intrusos, Auditoría y monitoreo con nes de protección. De varias discusiones Parece ser que la persecución es un objetivo de alto nivel. A veces se la describe como un Después de que el hecho de la técnica, pero también parece que desea un entorno tan cercano a tiempo real como posible. Estas y otras características parecen situar a la red forense en algún lugar de la Camino entre el modelo de aplicación de la ley y las necesidades analíticas de las operaciones militares.
90
48 Palmer, G. 2001. A Road Map for Digital Forensic Research, 1st Digital Forensic Resea rch Workshop, (NewYork, 2001), dfrws 49 Ranum, M. Network Flight Recorder, ranum
Paso 3
10.2 Autorización y Preparación
Buscar en los sistemas de aplicaciones, para relacionar individuos. Es necesario procedimientos estándares para lo colección de evidencia de los diferentes dispositivos de red.
Antes de recoger cualquier prueba se debe preocuparse por no infringir, ninguna normativa referente al manejo de la evidencia o que genere alguna responsabilidad.
10.3 Crear mapas digitales de evidencia
Se debe obtener los permisos necesarios para recolectar e indagar en el escenario propuesto. Estos permisos deberían ser escritos y estar autorizados por los abogados o los encargados.
Ayuden a realizar de manera metódica los procesos de búsqueda de evidencia.
Se deben revisar las políticas de utilización de los recursos computacionales. Para no ir en contra de la violación de la privacidad.
Utilizar los mapas de red de la organización y veri car sus niveles de detalles. Localización de los puntos de entrada y servidores claves, son las fuentes más extensas de evidencia. Routers, Firewalls
El investigador debe conocer y entender claramente el escenario de red que está bajo investigación. Identi cando actores y el(los) incidente(s) presentados
10.4 Documentación recolección y preservación
Comunicar y de nir qué tipo de evidencia necesita en su totalidad.
La primera diferencia cuando se trabaja en ambientes de red, es que muchas veces no es posible realizar una copia bit a bit de la evidencia.
Algunas veces deben recoger información antes de la autorización, para de nir qué clase de herramientas utilizar.
Por razones como: Se debe planear que es lo que se desea recolectar, particularmente cuando la cooperación es nula con los administradores del sistema.
El sistema no puede estar abajo Disco con demasiada información
Es importante de nir los procedimientos necesarios para preservar dicha información
No existe la autorización para copiar los datos En muchos casos se requiere recolectar la evidencia de manera remota
Identi car todos los factores que interviene para el proceso de recolección de la red.
Preservación de la evidencia digital dinámica, Ej: Re direccionar la salida estándar de una maquina nix50 a un archivo o dispositivo. Para recolectar evidencia de Router, rewall, y dispositivo de línea serial HyperTerminal de Windows es una solución.
Deben existir métodos para identi car los sistemas que más evidencia pueden tener.
Paso 1 Buscar en puntos terminales
Se utiliza la gura de un segundo investigador que tome atenta nota y documente los resultados, con el objetivo de mejorar los procedimientos de recolección por parte de una sola persona Para garantizar la preservación de los datos se pueden utilizar mecanismos como grabaciones (video tapes), las rmas digitales son de gran uso para comprobar la integridad y evitar manipulaciones al futuro.
Buscar en puntos intermedios. Swich, Routers, Proxys
Paso 2 Buscar eventos en los archivos de Log's, que suministran un panorama de las actividades de la red. Sistemas de monitoreo. 91
La mayoría de veces es necesario utilizar herramientas que capturen el trá co de la red.
Es necesario documentar que servidor de donde se está extrayendo la información, porque es posible que quien examine tenga que ir a otro servidor en alguna otra parte.
La recolección de los logos se vuelve vital en los dispositivos de red. Log's de IDS, de rewalls, de proxys y de más elementos de comunicaciones.
Calcular las huellas MD5/SHA1 de toda la evidencia antes y después de transferirla de la máquina remota.
Es importante preservar la cadena de custodia para todos los eventos que se presenten.
Fírmelos digitalmente, cífrelos y sálvelos en dispositivos de solo lectura
¿Quién recoge y manipula la evidencia
Trate de utilizar más de una forma de recolectar la información
¿Cómo se recoge la evidencia
10.5 Examinar y Analizar
¿Desde dónde la recoge Examinar la información es vital para poder realizar su posterior análisis.
¿Cuándo fue realizado el proceso
La profundización en la examinación de la evidencia depende en gran medida, del conocimiento de la escena del crimen y de las restricciones colocadas por el investigador.
¿Por qué fue realizado el proceso En muchos casos cuando las copias bits a bits no son posibles se siguiere: Noti car la hora y fecha del sistema para el archivo de log correspondiente
Este proceso es divido en tres grandes labores
Documentar la localización del archivo, y los datos del metadata (tamaño, rmas de tiempo)
Figura 29. Proceso en un entorno de Red
En la examinación y el Análisis se involucran tres procesos en los cuales se somete la evidencia digital en un entorno de Red
Utilizar algoritmos de hash para los archivos. MD5 Impresión de los Log's en caso de ser pequeños Tratar de salvar el archivo o Log's archivos en otro medio, y veri car su lectura para futuros usos. Mejor el archivo completo Para ayudar a documentar y demostrar integridad y autenticidad de la máquina que recolecta la evidencia en red se debe saber. Seguir estándares de operaciones: Métodos, Protocolos Esencial conservar un registro de las acciones tomadas durante el proceso de recolección de la evidencia y tomar las pantallas de los ítems más relevantes.
Imagen Extraída de: chrome-extension://gbkeegbaiigmenfmjfclcdgdpimamgkj/views/app.html, Pág 25
92
- Cuando se evalúa el origen de una pieza de evidencia, el investigador compara todos los ítems, determinando si son iguales o parecidos o si viene del mismo origen
10.5.1 Filtrado y Reducción de Datos Cantidades extensas de información que en algunos casos no está relacionada con la investigación.
- Examina característica por característica para determinar si tienen relación.
Se debe realizar para obtener la evidencia concluyente e importante.
- Entre más características en común tenga un ítem y su origen mayor será la probabilidad de que estén relacionadas.
Para extraer la información relevante de los archivos se debe tener en cuenta.
- Los ítems pueden tener características que los diferencien. características individuales .
Todo el archivo irrelevante a la investigación. No tenerlos en cuenta
- En los ambientes de red, las clases de características, así como las características individuales, son utilizadas para poder identi car el origen de la evidencia.
Enfocar la investigación en los archivos más probables creados por los usuarios Manejar redundancia de archivos
10.5.3 Recuperación de la evidencia
Discrepancias entre las evidencias digitales recolectadas. Ej: MD5
- Tratar de recuperar archivos de logs y/o eventos de las operaciones de red
Es útil utilizar ltros a nivel de las aplicaciones de recolección de datos
- Se deben utilizar las herramientas apropiadas para la recuperación de dichos datos. Sni er en el caso de red
A menudo es muy útil utilizar las técnicas de búsquedas por patrones dentro de los archivos de Log's.
- Existen hoy en día grandes retos relacionados con el cifrado de los datos.
10.5.2 Clasi cación y evaluación de la fuente
- Utilización de las técnicas acordes a procedimientos forenses claras para la obtención de los datos cuando se encuentren cifrados.
Cuando se analiza la evidencia es importante responder a las siguientes preguntas:
10.6 Reconstrucción del escenario
¿Qué es Permite Identi car y Clasi car la Evidencia ¿De dónde viene
- La reconstrucción con lleva a un escenario más complejo y completo del incidente. En ella se pueden encontrar respuestas a preguntas como
- El proceso de identi car involucra clasi car basados en características similares. class characteristic
¿Qué sucedió , ¿Quién , ¿Cuándo , ¿Donde , ¿Cómo , y Por Qué
Un ítem es clasi cado cuando este puede ser c ol o c a d o e n u n a cl a s e d e ít e ms c on características similares. (Inman and Rudin 1997)
- Existen tres formas de realizar la reconstrucción Análisis Funcional: De acuerdo a cómo funcionan las aplicaciones y/o programas comprometidos, y como generan la evidencia. 93
Análisis Relacional: Análisis basado en la relación de la evidencia y la escena.
Normalmente un reporte tiene una estructura como sigue
Análisis Temporal: Análisis que relaciona los eventos y crea secuencias de acuerdo a los tiempos presentados en los sistemas
Introducción: Quien solicito el reporte, que se buscó, quien escribió el reporte, cuando y que fue encontrado Resumen de evidencias: Que evidencias fueron examinadas, cuando, de donde y cuando se obtuvieron las pruebas
- En ambientes de red se empiezan los procesos de reconstrucción a través de los trá cos generados y con ellos revisar si se han comprometido otros sitios.
Resumen de proceso: Que herramientas fueron utilizadas, que datos fueron recuperados
- La reconstrucción de manera relacional tiene un grado de di cultad mayor por la variabilidad de sus elementos. Ej: IP's, DNS.
Examinación de evidencias: Archivos de logs, trá cos de red o archivos.
- Por lo tanto, es necesario examinar todas las alternativas posibles de evidencia.
Análisis: Descripción del o los análisis realizados
- Es importante ayudarse de los otros enfoques de reconstrucción de los escenarios para validar la evidencia que se está utilizando.
Conclusiones: Resumen que se enlace lógicamente y se re era a todas las evidencias recolectadas Glosario de Términos: Explicación de los términos técnicos utilizados.
- Los ambientes de red generalmente siempre tienen más de un origen para corroborar los datos.
Apéndices: Relación de la evidencia encontrada de manera numerada y ordenada
- En algunos casos se recomienda hacer extracción de los datos relevantes de las evidencias encontradas.
10.8 Herramientas utilizadas en el proceso
- Cuando se manejan volúmenes grandes de datos relacionados, se recomienda reconstruir escenarios pequeños antes de integrarlo toda la escena del crimen.
Existen una gran cantidad de herramientas que ayudan al proceso de recolección de datos.
Clasi cación y evaluación de la fuente
- En el caso de los análisis temporales es importante relacionar los eventos de los diferentes elementos, antes de presentar un resultado puesto que podría ser pasado por alto. Fechas de los dispositivos
Lo importante es entender cuál puede ser su utilidad y cuál es el momento indicado para utilizarlos. Herramientas de carácter global. Agrupación de herramientas
- Cuando se recolecta la evidencia de los ambientes de re d , e s p o s i bl e i d e nt i c ar l o s p at ron e s d e comportamiento de los ataques y atacantes. Poder en muchos casos establecer el modus operandi
Herramientas de carácter individual. Entre algunas de las herramientas más utilizadas y su clasi cación están
10.7 Reporte de resultados - Se debe integrar todo lo encontrado en un reporte nal que de las conclusiones de la investigación. - Pieza clave cuando se presenta como evidencia en estamentos legales.
94
Tabla 4. Función de las Herramientas Forenses.
Patrón
Función
C
Colección y Filtrado de datos
L
Análisis de Log's
S
Re ensamble de datos
R
Correlación y análisis de múltiples fuentes de datos
A
Visores de capa de aplicaciones
W
Work ow
Fuente Tabla: http://www.monogra as.com/trabajos109/recoleccion-evidencia-ambientes-red/recoleccion-evidencia-ambientes-red2.shtml
Tabla 5. Herramientas Forenses I
Nombre
Suministrada por
Plataforma
Función
TCPDump,Windump
http://windump.polito.it http://www.tcpdump.org
Ngrep
http://ngrep.sourceforge.net
Network Stumbler
http://netstumbler.com
Windows
C
Kismet
www.kismetwireless.net
Windows, Linux
C
Argus
www.qosient.com/argus7/
nix
CL
Flow-tools
www.splintered.net/sw/ ow-tools/
nix
CL
Flow extract, Flow Scripts
http://security.uchicago.edu/tools/ net-forensics/
nix
L
Etherape
http://etherape.sourceforge.net/
nix
C
Ethereal
www.ethereal.com/
Windows-Linux
CLS
Etherpeek
www.wildpackets.com/
Windows
CLS
Linux, Windows nix
C C
Fuente Tabla: http://www.monogra as.com/trabajos109/recoleccion-evidencia-ambientes-red/recoleccion-evidencia-ambientes-red2.shtml
95
Tabla 6. Herramientas Forenses II.
Nombre
Suministrada por
Plataforma
Función
Flag (Forensic and Log Analysis GUI )
www.dsd.gov.au/library/so ware/ ag/
nix
L
Shadow
www.nswc.navy.mil/ISSEC/CID/index.html/
nix
LS
Sleuth9
www.deepnines.com/sleuth9.html/
nix
CSR
Dragon IDS
www.enterasys.com/products/ids/
nix
CLSR
NSM Incident response
www.intellitactics.com/
Windows
CLSRW
Neusecure
www.guarded.net/
nix
CLSRW
NetIntercept
www.sandstorm.net/
Linux box
CSRA
NetWitness
www.forensicexplorer.com/
Windows
CLSRA
nix
OSSIM
www.ossim.net/
SGUIL
http://sguil.sourceforge.net/
nix, Windows
CLSRA CSR
Fuente Tabla: http://www.monogra as.com/trabajos109/recoleccion-evidencia-ambientes-red/recoleccion-evidencia-ambientes-red2.shtml
- Algunas otras herramientas que ayudan en el proceso de recolección de la información.
Sistemas de Autenticación Biométricos Dispositivos Tecnológicos que permiten veri car la identidad de una persona a través de un rasgo físico o de su comportamiento, con el propósito de mitigar los riesgos de suplantación en servicios o transacciones electrónicas. Certicámara en el 2014 lanzó un Folleto en el cual explica lo bené cos de tener en cada una de las organizaciones el Sistema de Autenticación Biométrica
Nessus. www.nessus.org Nmap. www.insecure.org - También existen las llamadas distribuciones booteables, que son de nidas como el conjunto de herramientas en el proceso forense. FIRE,Sleuth,Helix,Plan-B Adicional a las herramientas para la seguridad en Servidores, Redes, aplicaciones web y computadores personales se mencionan a continuación:
Los Honeypots son herramientas tecnológicas las cuales están diseñadas para analizar como los hackers emplean sus armas para intentar entrar en un sistema (analizan las vulnerabilidades en un sistema) y alterar, copiar o destruir sus datos o la totalidad de estos. Los Honeypots son en su forma más básica, son servidores de información falsos, posicionados estratégicamente en una red de prueba, los cuales son alimentados con información falsa que es disfrazada como archivos de naturaleza con dencial. A su vez, estos servidores son con gurados inicialmente de manera que sea difícil mas no imposible el hecho de penetrados por un atacante informático, exponiéndolos de manera liberada y haciéndolos altamente atractivos para un hacker en busca de un blanco. Por último, el servidor es
50
Sistemas de Detección de Intrusos (Intrusion Detection System IDS) Es un programa de detección de accesos no autorizados a un computador a una redIDS Hace referencia a un mecanismo que, sigilosamente, escucha el trá co en la red para detectar actividades anormales o sospechosos, y de este modo, reducir en riesgo de instrucción existen dos grupos 1. N – IDS (Sistema de detección de instrucciones de red) Garantiza la seguridad de la red 2. H – IDS (Sistema de detección de instrucciones en el host ) Garantiza la seguridad en el host 96
50 wikipedia
habilitado como una herramientas de monitoreo y rastreo de informaciรณn, de manera que cada paso y rastro de actividad de un hacker pueda ser registrado en una bitรกcora que indique esos movimientos de manera detallada.
97
BIBLIOGRAFÍA Enciclopedia jurídica. (s.f.). Obtenido de Enciclopedia jurídica: http://www.enciclopedia-juridica.biz14.com/d/ admisibilidad/admisibilidad.htm Altonivel. (s.f.). Obtenido de Altonivel: http : //www.altonivel.com.mx/7102-que-es-la-informatica-forense/ Altonivel. (s.f.). Obtenido de Altonivel: http : //www.altonivel.com.mx/7102-que-es-la-informatica-forense/ APRENDA REDES. (s.f.). Obtenido de APRENDA REDES: http://www.aprendaredes.com/dev/articulos/que-es-el-switch.htm : ccit. (s.f.). Obtenido de ccit: http://www.ccit.org.co/ Centro Cibernetico Policial. (s.f.). Obtenido de Centro Cibernetico Policial: https://caivirtual.policia.gov.co/ CEPAL. (s.f.). Obtenido de CEPAL: http://www.cepal.org/es/temas/pymes codigo_de_procedimiento_penal. (s.f.). Obtenido de codigo_de_procedimiento_penal: http://leyes.co/codigo_de_procedimiento_penal/317.htm COLCERT. (s.f.). Obtenido de COLCERT: http://www.colcert.gov.co/ Comando General. (s.f.). Obtenido de Comando General: http://media.arpel2011.clk.com.uy/ciber/18.pdf C omi si on d e R eg u l a c i on d e C omuni ca c i ones . ( s . f . ) . O bt e n i d o d e C om i s i on d e R e g u l a c i on d e C omu n i c a c i on e s : https://www.crcom.gov.co/recursos_user/Documentos_CRC_2015/Actividades_regulatorias/Ciberseguridad/Doc_Ciberseguridad28_07_15. pdf CONICET. (s.f.). Obtenido de CONICET: http://www.bahiablanca-conicet.gob.ar/boletin/index.php/institucio nales/se-creo-el-instituto-de-ciencias-e-ingenieria-de-la-computacion-icic core one . (s.f.). Obtenido de core one : https://coreoneit.wordpress.com/2013/04/13/tipos-de-ataques-informaticos/ core one . (s.f.). Obtenido de core one : https : //coreoneit.wordpress.com/2013/04/13/tipos-de-ataques-informaticos/ core one . (s.f.). Obtenido de core one : https://coreoneit.wordpress.com/2013/04/13/tipos-de-ataques-informaticos/ corte constitucional. (s.f.). Obtenido de corte constitucional: http://www.corteconstitucional.gov.co/relatoria/2000/C-662-00.htm corteconstitucional. (s.f.). Obtenido de corteconstitucional: http : //www.corteconstitucional.gov.co/relatoria/2000/C-662-00.htm CRC. (s.f.). Obtenido de CRC: https://www.crcom.gov.co/es/pagina/inicio DANE. (s.f.). Obtenido de DANE: http://www.dane.gov.co/ DANE. (s.f.). Obtenido de https://www.dane.gov.co/index.php/estadisticas-por-tema/pobreza-y-condiciones-de-vida/calidad-de-vida-ecv DBI. (s.f.). Obtenido de DBI: http : //dbi.io/es/blog/que-son-los-logs/ de nicionabc.com. (s.f.). Obtenido de de nicionabc.com: https://www.de nicionabc.com/tecnologia/antivirus.php 98
DELL EMC. (s.f.). Obtenido de https://colombia.emc.com/corporate/glossary/data-archiving.htm Departamento Nacional de Planeaciรณn. (s.f.). Obtenido de Departamento Nacional de Planecaion: https://www.dnp.gov.co/CONPES/Paginas/conpes.aspx DNI. (s.f.). Obtenido de DNI: http://www.dni.gov.co/ DNP. (s.f.). Obtenido de https://www.dnp.gov.co/Paginas/inicio.aspx El sistema operativo GNU. (s.f.). Obtenido de El sistema operativo GNU: https : //www.gnu.org/home.es.html Expresion Binaria. (s.f.). Obtenido de Expresion Binaria: http : //www.expresionbinaria.com/glosario/honeypot/ FISCALIA. (s.f.). Obtenido de FISCALIA: http://www. scalia.gov.co/colombia/la-entidad/sistema-penal-oral-acusatorio/ FISCALIA.GOV. (s.f.). Obtenido de FISCALIA.GOV: http://www. scalia.gov.co/colombia/la-entidad/sistema-penal-oral-acusatorio/ : FISCALIS.GOV. (s.f.). Obtenido de FISCALIS.GOV: http://www. scalia.gov.co/colombia/la-entidad/sistema-penal-oral-acusatorio/ : forodeseguridad. (s.f.). Obtenido de forodeseguridad: http://www.forodeseguridad.com/artic/discipl/4112.htm funde BBVA. (s.f.). Obtenido de funde BBVA: http://www.fundeu.es/recomendacion/encriptar-es-un-termino-valido/ Gembeta. (s.f.). Obtenido de Gembeta: https://www.genbeta.com/web/son-los-ataques-ddos-efectivos-como-medio-de-protesta Gembeta. (s.f.). Obtenido de Gembeta: https://www.genbeta.com/web/son-los-ataques-ddos-efectivos-como-medio-de-protesta gnome help. (s.f.). Obtenido de gnome help: https://help.gnome.org/users/gnome-help/stable/net-macaddress.html.es Hostingred. (s.f.). Obtenido de Hostingred: http : //www.hostingred.com/ley_527_1999.pdf ITI. (s.f.). Obtenido de ITI: https://www.itic.org/ ITU. (s.f.). Obtenido de ITU: http://www.itu.int/es/about/Pages/default.aspx J. Z. (s.f.). academia.edu. Obtenido de academia.edu: http : //www.academia.edu/15303930/ATAQUES_INFORM%C3%81TICOS Krauss, J. D. (1992). Wikipedia. Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Jaula_de_Faraday LINGUEE. (s.f.). Obtenido de LINGUEE: http://www.linguee.com/english-spanish/translation/computer+security+incident+response+teams +csirt.html Manual de Manejo de Evidencias Digitales y Entornos Informรกticos. (s.f.). Obtenido de Manual de Manejo de Evidencias Digitales y Entornos Informรกticos: https://www.oas.org/juridico/spanish/cyber/cyb47_manual_sp.pdf Manual de Manejo de Evidencias Digitales y Entornos Informรกticos. (s.f.). Obtenido de Manual de Manejo de Evidencias Digitales y Entornos Informรกticos: https://www.oas.org/juridico/spanish/cyber/cyb47_manual_sp.pdf 99
Manual de Manejo de Evidencias Digitales y Entornos Informáticos. (s.f.). Obtenido de Manual de Manejo de Evidencias Digitales y Entornos Informáticos: https://www.oas.org/juridico/spanish/cyber/cyb47_manual_sp.pdf Manual de Manejo de Evidencias Digitales y Entornos Informáticos. (s.f.). Obtenido de Manual de Manejo de Evidencias Digitales y Entornos Informáticos: https://www.oas.org/juridico/spanish/cyber/cyb47_manual_sp.pdf Manual de Manejo de Evidencias Digitales y Entornos Informáticos. (s.f.). Obtenido de Manual de Manejo de Evidencias Digitales y Entornos Informáticos: https://www.oas.org/juridico/spanish/cyber/cyb47_manual_sp.pdf Manual de Manejo de Evidencias Digitales y Entornos Informáticos. (s.f.). Obtenido de Manual de Manejo de Evidencias Digitales y Entornos Informáticos: https : //www.oas.org/juridico/spanish/cyber/cyb47_manual_sp.pdf Manual de Manejo de Evidencias Digitales y Entornos Informáticos. (s.f.). Obtenido de Manual de Manejo de Evidencias Digitales y Entornos Informáticos: https://www.oas.org/juridico/spanish/cyber/cyb47_manual_sp.pdf : Manual de Manejo de Evidencias Digitales y Entornos Informáticos. (s.f.). Obtenido de https://www.oas.org/juridico/spanish/cyber/cyb47_manual_sp.pdf : Manual de Manejo de Evidencias Digitales y Entornos Informáticos. (s.f.). Obtenido de Manual de Manejo de Evidencias Digitales y Entornos Informáticos: https://www.oas.org/juridico/spanish/cyber/cyb47_manual_sp.pdf : masadelante.com. (s.f.). Obtenido de masadelante.com: http://www.masadelante.com/faqs/que-es-un-navegador Master Megazine. (s.f.). Obtenido de Master Megazine: https://www.mastermagazine.info/termino/4284.php MEMORIAS USB. (s.f.). Obtenido de MEMORIAS USB: https : //es.wikipedia.org/wiki/Memoria_USB MINTIC. (s.f.). Obtenido de MINTIC: http://www.mintic.gov.co/portal/604/w3-channel.html MINTIC. (s.f.). Obtenido de MINTIC: https://es.wikipedia.org/wiki/Red_digital_de_servicios_integrados MINTIC. (s.f.). Obtenido de MINTIC: http://www.mintic.gov.co/portal/604/w3-channel.html MONOGRAFIAS.COM. (s.f.). Obtenido de MONOGRAFIAS.COM: http : //www.monogra as.com/trabajos82/escena-del-crimen/escena-delcrimen.shtml MONOGRAFIAS.COM. (s.f.). Obtenido de MONOGRAFIAS.COM: http : //www.monogra as.com/trabajos14/datos-redes/datos-redes.shtml myprofetecnologia.wordpress.com. (s.f.). Obtenido de myprofetecnologia.wordpress.com: https://myprofetecnologia.wordpress.com/2011/01/30/delitos-informaticos/ OCDC. (s.f.). Obtenido de OCDC: http://www.oecd.org/centrodemexico/laocde/ OEA. (s.f.). Obtenido de OEA: http://www.oas.org/es/sms/cicte/default.asp OEA. (s.f.). Obtenido de OEA: http://www.oas.org/es/ OFICINA NACIONAL DE TECNOLOGIA DE LA INFORMACION. (s.f.). Obtenido de OFICINA NACIONAL DE TECNOLOGIA DE LA INFORMACION: http://www.desarrollosocial.gob.ar/enlace/o cina-nacional-de-tecnologias-de-la-informacion-onti/ 100
Ondata. (s.f.). Obtenido de Ondata: http://www.ondata.es/recuperar/encase_forensic.htm oxforddictionaries. (s.f.). Obtenido de oxforddictionaries: https://es.oxforddictionaries.com/de nicion/ADN oxforddictionaries. (s.f.). Obtenido de oxforddictionaries: https://es.oxforddictionaries.com/de nicion/cederr%C3%B3n oxforddictionaries. (s.f.). Obtenido de oxforddictionaries: https://es.oxforddictionaries.com/de nicion/embalar locale=es Pérez Porto, J. (2009). de nicion.de. Obtenido de de nicion.de: http://de nicion.de/bluetooth/ PRENZI. (s.f.). Obtenido de PRENZI: https://prezi.com/-hsvg077evqk/es-un-conjunto-de-ordenes-y-programas-que-controlan-los-proc/ : PRENZI. (s.f.). Obtenido de PRENZI: https://prezi.com/eanngmnbprlk/conjunto-de-programas-y-rutinas-que-permiten-a-la-computador/ : prezi. (s.f.). Obtenido de prezi: https://prezi.com/zlbhjtgyyxvx/arquitectura-dmz/ prezi. (s.f.). Obtenido de prezi: https : //prezi.com/uv965eelzdhr/memoria-principal-de-la-computadora-donde-residen-programas/ PREZI. (s.f.). Obtenido de PREZI: https://prezi.com/lnpou7cgssqd/la-evidencia- sica-y-la-cadena-de-custodia/ PREZI. (s.f.). Obtenido de PREZI: https://prezi.com/lnpou7cgssqd/la-evidencia- sica-y-la-cadena-de-custodia/ SALUD EN EMERGENCIAS Y DESASTRES. (s.f.). Obtenido de SALUD EN EMERGENCIAS Y DESASTRES: "http://www.msal.gob.ar/salud-ydesastres/index.php/informacion-para-comunicadores/conceptos-basicos-de-la-gestion-de-riesgos SALUD EN EMERGENCIAS Y DESASTRES. (s.f.). Obtenido de "http://www.msal.gob.ar/salud-y-desastres/index.php/informacion-paracomunicadores/conceptos-basicos-de-la-gestion-de-riesgos SALUD EN EMERGENCIAS Y DESASTRES. (s.f.). Obtenido de SALUD EN EMERGENCIAS Y DESASTRES: http://www.msal.gob.ar/salud-ydesastres/index.php/informacion-para-comunicadores/conceptos-basicos-de-la-gestion-de-riesgos SALUD EN EMERGENCIAS Y DESASTRES. (s.f.). Obtenido de SALUD EN EMERGENCIAS Y DESASTRES: http://www.msal.gob.ar/salud-ydesastres/index.php/informacion-para-comunicadores/conceptos-basicos-de-la-gestion-de-riesgos SALUD EN EMERGENCIAS Y DESASTRES. (s.f.). Obtenido de SALUD EN EMERGENCIAS Y DESASTRES: http://www.msal.gob.ar/salud-ydesastres/index.php/informacion-para-comunicadores/conceptos-basicos-de-la-gestion-de-riesgos SALUD EN EMERGENCIAS Y DESASTRES. (s.f.). Obtenido de SALUD EN EMERGENCIAS Y DESASTRES: http : //www.msal.gob.ar/salud-ydesastres/index.php/informacion-para-comunicadores/conceptos-basicos-de-la-gestion-de-riesgos SALUD EN EMERGENCIAS Y DESASTRES. (s.f.). Obtenido de SALUD EN EMERGENCIAS Y DESASTRES: http : //www.msal.gob.ar/salud-ydesastres/index.php/informacion-para-comunicadores/conceptos-basicos-de-la-gestion-de-riesgos SALUD EN EMERGENCIAS Y DESASTRES. (s.f.). Obtenido de SALUD EN EMERGENCIAS Y DESASTRES: http : //www.msal.gob.ar/salud-ydesastres/index.php/informacion-para-comunicadores/conceptos-basicos-de-la-gestion-de-riesgos SALUD EN EMERGENCIAS Y DESASTRES. (s.f.). Obtenido de SALUD EN EMERGENCIAS Y DESASTRES: http://www.msal.gob.ar/salud-ydesastres/index.php/informacion-para-comunicadores/conceptos-basicos-de-la-gestion-de-riesgos : 101
SALUD EN EMERGENCIAS Y DESASTRES. (s.f.). Obtenido de SALUD EN EMERGENCIAS Y DESASTRES: http://www.msal.gob.ar/salud-ydesastres/index.php/informacion-para-comunicadores/conceptos-basicos-de-la-gestion-de-riesgos : SCRIBD. (s.f.). Obtenido de SCRIBD: https://es.scribd.com/document/311222677/Libro-de-Criminalistica SCRIBD. (s.f.). Obtenido de SCRIBD: https : //es.scribd.com/document/55368454/Evidencia-Digital SCRIBD. (s.f.). Obtenido de SCRIBD: https://es.scribd.com/document/130292402/Instituciones-de-Titulos-Valores-Reparado : Secretaría de Cultura y Educación. (10 de 20 de 2011). TIPOS DE ALMACENAMIENTO EXTERNO. Obtenido de TIPOS DE ALMACENAMIENTO EXTERNO: https://www.rosario.gov.ar/mr/so warelibre/material-de-interes/capacitacion-kubuntu/almacenamiento_ externo.pdf SICE. (s.f.). Obtenido de SICE: http://www.sice.oas.org/e-comm/legislation/col2.asp : slideshare. (s.f.). Obtenido de slideshare: https://es.slideshare.net/carlosandrespinocastano/acto-adtivo-electronico SLOWROOM. (s.f.). Obtenido de SLOWROOM: http://www.slowroom.es/tienda/kit-herramientas-brompton-toolkit/ : SUAREZ. (s.f.). Obtenido de SUAREZ: https://suarezclothing.com/co/ley-de-proteccion-de-datos/ : Udlap. (s.f.). Obtenido de Udlap: http : //ict.udlap.mx/people/carlos/is215/ir09.html UIAF. (s.f.). Obtenido de UIAF: https://www.uiaf.gov.co/ UNCITRAL. (s.f.). Obtenido de UNCITRAL: http://www.uncitral.org/uncitral/es/ UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO. (s.f.). Obtenido de UNIVERSIDAD NACIONAL AUTONOMA DE MEXICO: https://www.seguridad.unam.mx/historico_cert/index.html : US-CERT. (s.f.). Obtenido de US-CERT: https://www.us-cert.gov/ VENCERT.GOB. (s.f.). Obtenido de VENCERT.GOB: http://www.vencert.gob.ve/es-ve/ Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Ataque_inform%C3%A1tico Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Malware Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Cadena_de_custodia Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Semiconductor_complementario_de_%C3%B3xido_met%C3%A1lico Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/So ware Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Copia_de_seguridad Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Defacement 102
Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Direcci%C3%B3n_IP Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Malware Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Disco_%C3%B3ptico Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/DVD Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Espectro_electromagn%C3%A9tico Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Exploit Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Extracci%C3%B3n_de_la_informaci%C3%B3n Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Tabla_de_asignaci%C3%B3n_de_archivos Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica) Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Firma_digital Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Firma_electr%C3%B3nica Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/File_Transfer_Protocol Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Google_Hacking Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Hacker_(seguridad_inform%C3%A1tica) Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Funci%C3%B3n_hash Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Huella_dactilar Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Entorno_de_desarrollo_integrado Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Proveedor_de_servicios_de_Internet Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/IOS Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Internet_Relay_Chat Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Iter_criminisWikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Jumper_(inform%C3%A1tica) Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Knoppix Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Malware Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Registro_de_arranque_principal 103
Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Secure_Digital Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Metadato Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Nmap Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Perito_judicial Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Perito Wikipedia. (s.f.). Obtenido de Wikipedia: https : //es.wikipedia.org/wiki/Servidor_proxy Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Puerto_serie : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Request_for_Comments : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Malware : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Router : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Script_kiddie : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Serial_Attached_SCSI : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Network_Time_Protocol : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Sha1sum : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Malware : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Protocolo_de_resoluci%C3%B3n_de_direcciones : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Familia_de_protocolos_de_Internet : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Entorno_Virtual_de_Aprendizaje : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Unix : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Malware : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Red_privada_virtual : Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Protocolo_de_resoluci%C3%B3n_de_direcciones Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Bezbednosno_Informativna_Agencija Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/BIOS 104
Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Bit Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/CAINE_Linux Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Unidad_central_de_procesamiento Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Dynamic_Host_Con guration_Protocol Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/IMEI Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/IMSI Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Interpol Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/ISSN Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/MACD Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/MACD Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Instituto_Nacional_de_Est%C3%A1ndares_y_Tecnolog%C3%ADa Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/NTFS Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/OTAN Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/PDA Wikipedia. (s.f.). Obtenido de Wikipedia: https://es.wikipedia.org/wiki/Producto_interno_bruto
105