Derecho informático final by eduardo_kalle@hotmail.com

DERECHO INFORMÁTICO Docente: ANGEL RICARDO SILVA DODINO

Trabajo final Eduardo calle

¿Qué es la Informática Forense? Es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas para luego analizarlas. La tecnología, en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de suma importancia en recaudar la información y pruebas necesarias. La escena del crimen es el computador y la red a la cual éste está conectado. Gran cantidad de documentos son elaborados digitalmente en computadores para ser a continuación impresos. Dentro de lo forense encontramos otras ramas : Computación forense (computer forensics) Se considera a las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso; o como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos. Forense en redes (network forensics) Es un escenario aún más complejo, pues es necesario comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento específico en el tiempo y un comportamiento particular. Esta conjunción de palabras establece un profesional que entendiendo las operaciones de las redes de computadores, es capaz, siguiendo los protocolos y formación criminalística, de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su acción. A diferencia de la definición de computación forense, este contexto exige capacidad de correlación de evento, muchas veces disyuntos y aleatorios, que en equipos particulares, es poco frecuente.

forense digital (digital forensics) Forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados, con el fin de apoyar a la administración de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, ¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto de la administración de la inseguridad informática. Objetivos de la Informática Forense La informática forense tiene 3 objetivos, a saber: 1. La compensación de los daños causados por los criminales o intrusos. 2. La persecución y procesamiento judicial de los criminales. 3. La creación y aplicación de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de evidencia Usos de la Informática Forense 1. Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. 2. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense. 3. Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. 4. Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial.

5. Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva. Ciencia Forense La ciencia forense nos proporciona los principios y técnicas que facilitan la investigación del delito criminal, en otras palabras: cualquier principio o técnica que puede ser aplicada para identificar, recuperar, reconstruir o analizar la evidencia durante una investigación criminal forma parte de la ciencia forense. Los principios científicos que hay detrás del procesamiento de una evidencia son reconocidos y usados en procedimientos como: •

Recoger y examinar huellas dactilares y ADN.

•

Recuperar documentos de un dispositivo dañado.

•

Hacer una copia exacta de una evidencia digital.

• Generar una huella digital con un algoritmo hash MD5 o SHA1 de un texto para asegurar que este no se ha modificado. • Firmar digitalmente un documento para poder afirmar que es auténtico y preservar la cadena de evidencias. Un forense aporta su entrenamiento para ayudar a los investigadores a reconstruir el crimen y encontrar pistas. Aplicando un método científico analiza las evidencias disponibles, crea hipótesis sobre lo ocurrido para crear la evidencia y realiza pruebas, controles para confirmar o contradecir esas hipótesis. Esto puede llevar a una gran cantidad de posibilidades sobre lo que pudo ocurrir, esto es debido a que un forense no puede conocer el pasado, no puede saber qué ocurrió ya que sólo dispone de una información limitada. Por esto, sólo puede presentar posibilidades basadas en la información limitada que posee.

El principio fundamental de la ciencia forense es el de transferencia Locard que viene a decir que cualquiera o cualquier objeto que entra en la escena del crimen deja un rastro en la escena o en la víctima y vice-versa (se lleva consigo), en otras palabras: “cada contacto deja un rastro”.

A diferencia de otro tipo de pruebas, como puede ser la documentación en papel, las evidencias electrónicas son pruebas físicas aunque de carácter intangible, ya que generalmente son rastros registrados en equipos informáticos. El ordenador registra los datos de todas las actividades que realiza. Dichos registros o logs son fundamentales en las investigaciones informáticas, siempre que se pueda comprobar que no han sido manipulados. Los servidores de correo, cortafuegos o el router también generan logs. En ocasiones, para la adquisición o recolección de la evidencia electrónica, el perito informático utiliza herramientas especializadas en la investigación informática. Recovery Labs cuenta también con herramientas propias desarrolladas por el departamento de I+D. Durante la investigación, el perito informático se puede encontrar con algunos obstáculos, como por ejemplo la dificultad a la hora de reconstruir la evidencia electrónica debido a que los datos están dañados o han sido eliminados. Por ello, el servicio de peritaje informático de Recovery Labs ofrece la posibilidad de recuperar los datos que puedan utilizarse como prueba. Para llevar a cabo la recuperación con total garantía, Recovery Labs cuenta con uno de los principales laboratorios de recuperación de datos de Europa, equipado con la tecnología más avanzada.

. Al adquirir y tratar la evicencia electrónica, los elementos que deben regir el trabajo del perito informático son: la no alteración de la prueba y el principio de imparcialidad. En este sentido y con el fin de garantizar la autenticidad y seguridad de la información que constituye la prueba, la IOCE (International Organization on Computer Evidence) propone cinco principios sobre la adquisición y el tratamiento de la evidencia electrónica: •

Las acciones llevadas a cabo para adquirir la evidencia electrónica no deben modificarla.

•

Las personas que accedan a la evidencia electrónica original deben estar formadas especialmente para ello.

•

Toda aquella actividad referente a la adquisición, acceso, almacenamiento o transferencia de la evidencia electrónica, debe ser totalmente documentada, almacenada y debe estar disponible para revisión.

•

Un individuo es responsable de todas las acciones llevadas a cabo con respecto a la evidencia electrónica mientras ésta está en su posesión.

•

Cualquier organismo que sea responsable de la adquisición, acceso, almacenamiento o transferencia de la evidencia electrónica debe cumplir estos principios.

. Brevemente, la ciencia forense facilita las herramientas, técnicas y métodos sistemáticos (pero científicos) que pueden ser usados para analizar una evidencia digital y usar dicha evidencia para reconstruir qué ocurrió durante la realización del crimen con el último propósito de relacionar al autor, a la víctima y la escena del crimen. Es posible investigar (aún cuando internet permite el anonimato y el uso de nombres falsos) quien es el dueño de sitios web, quienes son los autores de determinados artículos y otros documentos enviados a través de redes o publicados en la misma. El rastreo depende en sí de quien y como realizó el ataque o cualquier otra acción, es posible buscar atacantes exteriores de sistemas e incluso se conocen casos donde se ha determinado la autoría de virus. Son igualmente investigables las modificaciones, alteraciones y otros manejos dolosos de bases de datos de redes internas o externas, así como de cualquier sistemas de redes, ataques internos. Por supuesto, para realizar esta fragosa tarea se debe poseer un conocimiento sólido (normalmente quienes hacen de Informáticos forenses han realizados ataques anteriormente o conocen el uso de herramientas, dispositivos y software de incursión en redes, por lo que tienen una idea de las posibles intrusiones por parte de terceros en un sistema). La destrucción de datos y la manipulación de los mismos también pueden rastrearse. Los hábitos de los usuarios de los computadores y las actividades realizadas pueden ayudar a la reconstrucción de hechos, siendo posible saber de todas las actividades realizadas en un computador determinado.

Los archivos informáticos pueden guardar información . sobre su autor, la compañía, fecha y otros datos de interés jurídico. Esta información es almacenada a espaldas del usuario pudiendo determinarse en algunos casos en que computador/estación fue redactado el archivo (esto es poco fiable, ya que cualquier otra persona pudo trabajar con la pc, falsificando la identidad del usuario propietario de la estación, pero es usado como base del procedimiento). Las imágenes digitales y otros medios audiovisuales pueden estar protegidos no solo por derechos de autor (copyright) sino por las llamadas marcas de agua digitales que servirían para determinar el origen del archivo aunque hayan sido modificados para disfrazarlos y darle una apariencia distinta. Ya son frecuentes las inspecciones judiciales sobre páginas Webs y archivos, tendientes a la fijación de hechos que ocurren dentro del vasto mundo electrónico digital. El campo de la seguridad informática es inmensamente heterogéneo e interesante. Analizar un entorno atacado y comprometido es un desafiante ejercicio de aplicación de ingeniería inversa, para el cual es necesario tener gran conocimiento del funcionamiento de los sistemas involucrados, las técnicas de ataque y los rastros que dejan las mismas.

Bases de la Informática Forense . 1. Experticias, Auditoria e Computadores y Páginas Web.

Inspecciones

2. Ubicación de origen de correos anónimos y archivos anexos. 3. Determinación de propietarios de Dominios .com .net .org y otros. 4. Pruebas de violación de derechos de autor. 5. Control preventivo y restricción computadores e Internet.

uso

6. Protección de información y derechos de autor. 7. Recuperación de data y intencionalmente o por virus. 8.

archivos

borrados

Recuperación y descifrado de las claves.

Al realizar un análisis de informática forense es necesario tomar notas de lo que se hace con el disco duro, y a que hora, almacenándolo en una ubicación segura como por ejemplo una caja fuerte. Es recomendable que siempre que se trabaje con el medio original esté acompañado por un colega, para que conste a los efectos legales y el testimonio pueda ser confirmado por alguien con un nivel de conocimientos similar. Las copias deben ser hechas bit-por-bit, es decir será necesario hacer imágenes del disco. La investigación debe ser llevada sobre una copia y nunca sobre el disco original. Se debe hacer tres copias del disco duro original.

. Sobre todas las copias y original se debe llevar acabo una verificación criptográfica - un checksum. En lo posible realizar dumps de memoria y almacenarlos al igual que los discos. Es importante todos los hechos pertinentes al caso durante la preparación, recuperación y análisis de las pruebas sobre un ataque sean anotados para poder desarrollar un informe detallado de incidencia que se debe preparar una vez terminado el análisis. Este documento deberá servir como una prueba del incidente o compromiso. Siempre que se realiza cualquier apunte al cuaderno, el asistente debe tener completo conocimiento y entendimiento de lo que ha sido apuntado.

Antes de apagar el sistema, será útil recoger algunos ejemplos de aquella información que posiblemente no ha sido cambiada por los intrusos, como la organización de sistema de ficheros logs, el nombre del host, su dirección IP del fichero e información de algunos dispositivos. El análisis de la comunicación de datos es realmente importante allí se trabajaran en dos actividades: 1. Intrusión en una red de computadoras o mal uso de la misma. 2. Interceptación de datos.

. La intrusión en una red de computadoras o mal uso de la misma es la actividad de la informática forense principal cuando el análisis se hace sobre estructuras de esta naturaleza. Consiste en las funciones siguientes: a) Detección de la intrusión. b) Detectar la evidencia, capturarla y preservarla; c) Reconstrucción de la actividad específica o del hecho en sí.

El descubrimiento de la intrusión generalmente involucra la aplicación de software especializado y en algunos casos hardware, para supervisar la comunicación de los datos y conexiones a fin de identificar y aislar un comportamiento potencialmente ilegal. Este comportamiento incluye el acceso no autorizado, modificación del sistema en forma remota y el monitoreo no autorizado de paquetes de datos. La captura de la evidencia y su preservación, generalmente tiene lugar después del descubrimiento de una intrusión o un comportamiento anormal, para que la actividad anormal o sospechosa pueda conservarse para el posterior análisis.

La fase final, la reconstrucción de la intrusión o comportamiento anormal, permite un examen completo de todos los datos recogidos durante la captura de la evidencia.

. Para llevar a cabo con éxito estas funciones, el investigador forense debe tener experiencia en comunicación de datos y el apoyo de ingenieros y/o técnicos de software. Antes de realizar un análisis se debe tener en cuenta la siguiente información: a) sistema operativo afectado. b) inventario de software instalado en el equipo

c) tipo de hardware del equipo d) accesorios y/o periféricos conectados al equipo e) si posee firewall f) si esta en el ámbito del DMZ (Zona desmilitarizada) g) conexión a internet

h) configuración i) parches y/o actualizaciones de software j) políticas de seguridad implementadas k) forma de almacenamiento de la información (cifrada o no) l) personas con permisos de acceso al equipo m) el pc esta dentro del DMZ n) existe IDS o) cuantos equipos en red

. CONOSCA Y PREVENGA EL HACKING Desde que inicio Internet en el mundo, uno de sus principales objetivos está relacionado con su uso en las empresas y otras instituciones.

Nos introduciremos en el mundo de la seguridad informática y algunas temáticas relacionadas. Explicaremos los términos más utilizados, las mejores prácticas y la necesidad de mantenernos actualizados. Entre otras cosas, veremos la nomenclatura y los términos más utilizados. De acuerdo con algunas empresas de investigación, la seguridad de la información seguirá siendo una preocupación ejecutiva durante, al menos, los próximos cinco años, debido a las nuevas olas tecnológicas que modificarán las medidas de seguridad existentes. Vamos a plantear de forma clara y amena los fundamentos de la seguridad informática orientados al ethical hacking. No pretende ser un conjunto de conocimiento con pasos predefinidos, como si se tratara de una receta de cocina para utilizar determinada aplicación, sino que se propone profundizar en conceptos y detalles.

. Conceptos de seguridad informática Tal vez una de las formas más elegantes de expresar la idea de seguridad informática sea la siguiente: un conjunto de medidas de prevención, detección y corrección, orientadas a proteger la confidencialidad, la integridad y la disponibilidad de los recursos informáticos. Destacamos la elegancia de la definición, dada la gran cantidad de conceptos que incluye y la amplitud del espectro de conocimientos que pretende abarcar. Seguridad de la información

En los últimos años, la vigencia de los temas referidos a seguridad informática comenzó a extenderse a otras áreas, tal es así que trascendió las fronteras de la informática propiamente dicha, elevó de alguna manera su horizonte de responsabilidad y consituyó el nuevo concepto de seguridad de la información. Esto se basa en que la información va mucho más allá de la netamente procesada por equipos informáticos y sistemas, es decir, también abarca aquello que pensamos, que está escrito en un papel.

Que decimos, etcétera. De esta manera, podemos determinar que este concepto incluye al anterior como caso particular, por el hecho de agregar otras áreas de dominio. Algunos temas no relacionados directamente con la informática, pero sí con la información, son, por ejemplo, los que tienen que ver con planes de contingencia y continuidad de negocios, valuación de activos, leyes y normas, políticas y procedimientos, etcétera. En este libro, elegiremos un enfoque específico sobre los temas técnicos que sí están estrictamente vinculados con la informática, por lo que no incluiremos más que comentarios o anexos sobre otros tópicos

Defensa en profundidad

En el área militar (lamentablemente la base histórica de la tecnología para su crecimiento y desarrollo), se utiliza el término defensa en profundidad para denotar el uso de varias líneas de defensa consecutivas, en lugar de una única barrera muy fuerte. Las ideas de su implementación teórica se basan en que un potencial enemigo perderá fuerzas al superar cada barrera, dispersará sus recursos y potencia, y se debilitará. Así quien se defiende puede centrar sus esfuerzos en la reorganización y en la acción estratégica. En nuestra área, tomamos prestado este concepto para aplicarlo a los sistemas informáticos. Para aplicarlo a los sistemas, nos podemos basar en el modelo definido por Microsoft y difundido a través de sus múltiples canales de entrenamiento. Elegimos este modelo por ser muy didáctico y clarificador. Éste se extiende a lo largo de varios niveles. Modelo de defensa en profundidad propuesto por Microsoft:

• Políticas, procedimientos y concientización. • Seguridad física. • Seguridad del perímetro. • Seguridad de la red. • Seguridad del equipo. • Seguridad de las aplicaciones. • Seguridad de los datos.

En conclusión, el uso de las técnicas de defensa en profundidad puede ayudar a implementar la seguridad de manera efectiva.

Los protagonistas Algunas palabras han sido muy mencionadas en los últimos tiempos. Detrás de los términos existe La palabra hacker es un neologismo, que en informática se utiliza para referirse a un gran experto en algún área de dominio.

Mucho marketing, que hace que la sociedad toda reconozca lo que los medios de comunicación le transmiten, desafortunadamente. Intentaremos arrojar luz sobre algunos conceptos, de una manera lo más objetiva posible. Hackers La palabra hacker es un neologismo, que en informática se utiliza para referirse a un gran experto en algún área de dominio. Si bien lo relacionamos más con los conocimientos técnicos e informáticos, es posible extender el concepto hacia otras disciplinas. De esta manera, definimos a cualquier persona a la que le apasiona el conocimiento, el descubrimiento, el aprendizaje y el funcionamiento de las cosas.

Mantenerse informado Como mencionamos anteriormente, estar informado es una necesidad imperiosa. No podemos darnos el lujo de desconocer las últimas noticias o novedades relacionadas con el mundo de la tecnología en general y de la seguridad de la información en particular.

Necesidad de actualización

Menor privilegio Este principio nos dice que para poder realizar sus tareas, un usuario solamente debe tener los privilegios mínimos necesarios para dicha tarea y el acceso a los recursos indispensables, no más. Esto trae una serie de ventajas muy interesantes. Por ejemplo, el hecho de tener menos aplicaciones y servicios corriendo disminuye la probabilidad de que se puedan Las buenas prácticas que no siempre se cumplen explotar un error que comprometa al sistema.

Necesidad de actualización

La necesidad de actualización está íntimamente relacionada con el hecho de mantenernos informados. Como bien dijimos, la tecnología y la seguridad informática avanzan tan rápido, que es indispensable no solo estar informado, sino también actualizado. Y aquí debemos establecer una solución de compromiso. Evidentemente, no es posible estar 100% actualizado en todo, por lo que surge la necesidad de elegir, de poner prioridades sobre lo que vamos a mantenernos actualizados. Respecto a las fuentes necesarias, en principio son las mismas que las que nos permiten estar informado, pero hay que agregar también otras más específicas. Desde el punto de vista técnico, es fundamental leer regularmente bibliografía relacionada y publicaciones (de nuevo, la mayoría en inglés). Es importante tomarnos el proceso de aprendizaje constante con humildad y saber que hay mucho por aprender, y que lo que podemos conocer es únicamente la punta del iceberg de una disciplina mucho más compleja y apasionante. Menor privilegio Este principio nos dice que para poder realizar sus tareas, un usuario solamente debe tener los privilegios mínimos necesarios para dicha tarea y el acceso a los recursos indispensables, no más. Esto trae una serie de ventajas muy interesantes. Por ejemplo, el hecho de tener menos aplicaciones y servicios corriendo disminuye la probabilidad de que se puedan Las buenas prácticas que no siempre se cumplen explotar un error que comprometa al sistema.

Conclusiones Gracias al desarrollo del tema de informática forense se puede concluir que es recomendable seguir un conjunto de buenas prácticas. Que no limitan a la organización a seguir un nivel restringido al momento de gestionar su información. Después del todo lo visto se observa que debemos aplicar todos los procesos, lo que no le permite tener una idea clara de las actividades que debe realizar cada uno de los usuarios para cada instrumento tecnológico de dando como resultado una buena gestión de los servicios y aplicativos que el mundo y por ende la satisfacción y seguridad de los usuarios.

DEDICATORIA Dedicamos esta investigaci贸n a Dios primeramente quien nos ha tenido con vida y fuerzas para seguir adelante, a nuestros profesores por confiar en nuestro trabajo y por brindarnos una oportunidad para ser mejores cada d铆a, por brindarnos y darnos sus conocimiento para crecer profesional, a nuestra familia y amigos por el apoyo brindado y la confianza que han tenido hacia nosotros.

Referencias bibliográficas

•

http://cdigital.dgb.uanl.mx/te/1020149046.pdf

•

http:// Segur.inform.para.empresas/HackingDesdeCero

• •

http://www.officecomputer.com.bo/pro.php?id=318047 http://www.minutemanups.com/es/products/prort.php