¿Qué es?

APRENDIENDO DE LA INFORMÁTICA FORENSE

Recolección de pruebas digitales desde una maquina computacional para fines judiciales mediante la aplicación de técnicas de análisis y de investigación.La aparición de la informática forense como una disciplina se remonta a 1989 con la creación de la primera "ciencia de la computación forense" en la Ley Federal de los EE.UU.

Objetivos de la Informática Forense

La informática forense tiene 3 objetivos, a saber: 

1. La compensación de los daños causados por los criminales o intrusos. 

2. La persecución y procesamiento judicial de los criminales. 

3. La creación y aplicación de medidas para prevenir casos similares.

Delito informático

Para comprender porque la informática forense ha adquirido importancia en la actualidad debemos comprender donde se origina el delito.

Tipos de delito informático

• Hacking

Se denomina “hacking” en la jerga informática a la conducta de entrar a un sistema de información sin autorización, es decir violando las barreras de protección establecidas a tal fin.

• Cracking

Cambiar los contenidos de la información que tienen por objeto destruir el sistema, a esto se llama cracking y a los sujetos que lo realizan se los identifica como crackers. Esta es una expresión idiomática que se puede traducir como quebrar, es decir vencer las barreras de seguridad y romper lo que hay detrás de ellas.

• Phreaking

La actividad de phreaking es, sin duda, la más común de todas las llamadas

actividades ilícitas informáticas, es la actividad de obtener ventajas de las líneas telefónicas a los efectos de no pagar los costos de comunicación. Es decir que básicamente se trata de encontrar el medio para evitar pagar por el uso de la red telefónica ya sea ésta pública o privada, digital o inalámbrica.

• Carding

Se llama carding a la actividad de cometer un fraude o una estafa con un número de tarjeta de crédito, tarjetas telefónicas caseras que tienen la capacidad de recargarse, el carding consiste entonces en usar un número de tarjeta de crédito ya sea real o creado de la nada mediante procedimientos digitales para realizar compras a distancia por Internet y efectuar pagos.

Ley 1273 de 2009

Ley 1273 de 2009 Protección de la Información y de los Datos en Colombia

En Colombia existe la ley 1273 con la cual se modifico el código penal y se incluyo en lo relacionado al delito informático, para tener un mejor conocimiento de la ley esta se muestra exacta tal y como se rige:

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos” - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

Así funciona la informática forense en Colombia

Fases de la informática forense

Algunos elementos que deben ser considerados para mantener la idoneidad del procedimiento forense adelantado. Los procedimientos llevados a cabo se dividen en las siguientes etapas:

1. Identificación:

Estando en el lugar de la escena donde se realizó el ataque informático se debe rotular con sus respectivas características físicas el elemento que va ser objeto del análisis forense, para preservar el elemento que puede ser desde un disco rígido de un computador hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización.

2. Validación y preservación de los datos adquiridos

Se procede a realizar una imagen exacta del contenido de la evidencia asignando un código único correspondiente a una combinación única de bytes que constituye la totalidad del medio en observación. Este código de validación ha de ser lo suficientemente complejo como para evitar vulneraciones en la información rescatada e impedir que cualquier auditor pueda por su cuenta verificar la autenticidad de la imagen tomada.

3. Análisis y descubrimiento de evidencia

Se procede a realizar una colección de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos niveles. El punto de partida del análisis comienza al detectar una tipo de ataque informático o la sospecha de manipulación no autorizada de información.

4. Informe

Se presenta un informe escrito en un lenguaje a la vez técnico y claro y un Cd donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su interpretación.

• Fase de Identificación

Etapa 1: Levantamiento de información inicial para el Análisis Forense

La solicitud forense es un documento donde el administrador del equipo afectado notifica de la ejecución de un incidente y para ello solicita al equipo de seguridad la revisión del mismo, donde incluye toda la información necesaria para dar inicio al proceso de análisis.

Etapa 2: Asegurar la escena

Para asegurar que tanto los procesos como las herramientas a utilizar sean las

más idóneas se debe contar con un personal idóneo a quien se le pueda asignar la conducción del proceso forense, para ello el equipo de seguridad debe estar capacitado y entender a fondo la metodología.

• Fase de Validación y preservación

Es imprescindible definir

los métodos adecuados para el almacenamiento y etiquetado de las evidencias. 

Una vez que se cuenta con todas las evidencias del incidente es necesario

conservarlas intactas ya que son las “huellas del crimen”, se deben asegurar estas 

evidencias a toda costa.

Etapa 1: Copias de la evidencia.

Como primer paso se debe realizar dos copias de las evidencias obtenidas, generar también una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1. Incluir estas firmas en la etiqueta de cada copia de la evidencia sobre el propio medio de almacenamiento como CD o DVD etiquetando la fecha y hora de creación de la copia, nombre cada copia, por ejemplo “Copia A”, “Copia B” para distinguirlas claramente del original.

Etapa 2: Cadena de custodia

Otro aspecto muy importante es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. Se debe preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias, desde que se tomaron hasta su almacenamiento.

• Fase de Análisis

Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron. En el proceso de análisis se emplean las herramientas propias del sistema operativo (anfitrión) y las que se prepararon en la fase de extracción y preparación.

Etapa 1: Preparación para el análisis

Antes de comenzar el análisis de las evidencias se deberá:

- Acondicionar un entorno de trabajo adecuado al estudio que se desea

realizar.

- Trabajar con las imágenes que se recopiló como evidencias, o mejor aún

con una copia de éstas, tener en cuenta que es necesario montar las

imágenes tal cual estaban en el sistema comprometido.

- Preparar dos estaciones de trabajo, una de ellas contendrá al menos dos discos duros.

Etapa 2: Reconstrucción del ataque

Si ya se tienen montadas las imágenes del sistema atacado en una estación de

trabajo independiente y con un sistema operativo anfitrión de confianza, se

procede con la ejecución de los siguientes pasos:

- Crear una línea temporal o timeline de sucesos, para ello se debe recopilar

la siguiente información sobre los ficheros:

- Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y

borrado).

- Ruta completa.

- Tamaño en bytes y tipo de fichero.

- Usuarios y grupos a quien pertenece.

- Permisos de acceso.

- Si fue borrado o no.

Etapa 3: Determinación del ataque

Una vez obtenida la cadena de acontecimientos que se han producido, se deberá determinar cuál fue la vía de entrada al sistema, averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha.

Etapa 4: Identificación del atacante.

Si ya se logro averiguar cómo entraron en el sistema, es hora de saber quién quiénes lo hicieron. Para este propósito será de utilidad consultar nuevamente

algunas evidencias volátiles que se recopiló en las primeras fases, revisar las conexiones que estaban abiertas, en qué puertos y qué direcciones IP las solicitaron, además buscar entre las entradas a los logs de conexiones.

Etapa 5: Perfil del atacante

Otro aspecto muy importante es el perfil de los atacantes y sin entrar en muchos detalles se podrá encontrar los siguientes tipos:

Hackers: Son los más populares y se trata de personas con conocimientos en

técnicas de programación, redes, Internet y sistemas operativos.

SciptKiddies: Son una nueva especie de delincuentes informáticos. Se trata de jóvenes que con unos conocimientos aceptables en Internet y programación emplean herramientas ya fabricadas por otros para realizar ataques y ver que pasa. 

Profesionales: Son personas con muchísimos conocimientos en lenguajes de programación, en redes y su equipamiento (routers, firewall, etc.), Internet y sistemas operativos tipo UNIX. Suelen realizar los ataques bajo encargo, por lo que su forma de trabajar implica una exhaustiva preparación del mismo, realizando un estudio meticuloso de todo el proceso que llevará a cabo.

Etapa 6: Evaluación del impacto causado al sistema

Para poder evaluar el impacto causado al sistema, el análisis forense ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que accedieron al sistema. Esto permitirá evaluar el compromiso de los equipos y

realizar una estimación del impacto causado.

• Fase de Documentación y Presentación de las pruebas

Etapa 1: Utilización de formularios de registro del incidente

Es importante que durante el proceso de análisis se mantenga informados a los

administradores de los equipos y que tras la resolución del incidente se presenten 

los informes Técnico y Ejecutivo.

Etapa 2: Informe Técnico

Este informe consiste en una exposición detallada del análisis efectuado. Deberá describir en profundidad la metodología, técnicas y hallazgos del equipo forense.

Etapa 3: Informe Ejecutivo

Este informe consiste en un resumen del análisis efectuado pero empleando una explicación no técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado. Constará de pocas páginas, entre tres y cinco, y será de especial interés para exponer lo sucedido al personal no especializado en sistemas informáticos, como pueda ser el departamento de Recursos Humanos, Administración e incluso algunos directivos.

Herramientas De Software Utilizadas

Son herramientas que realizan una exploración completa del computador afectado en un solo paquete informático, se instala en el computador y se realiza la exploración del sistema de archivos y de usuarios. Entre los más populares se encuentran:

1. EnCase

EnCase es un ejemplo de herramientas de este tipo. Desarrollada por Guidance Software Inc. (http://www.guidancesoftware.com), permite asistir al especialista forense durante el análisis de un crimen digital.

2. Osforensics

OSForensics es un conjunto de utilidades para informática forense para comprobar qué se ha hecho con un computador. OSForensics se puede instalar

en memorias USB y cuenta con un gestor de casos.

3. Access Data Forensic Tool Kit (Ftk)

Forensic Toolkit de AccessData® (FTK™) ofrece a los profesionales encargados de controlar el cumplimiento de la ley y a los profesionales de seguridad la capacidad de realizar exámenes forenses informatizados completos y exhaustivos. FTK posee funciones eficaces de filtro y búsqueda de archivos. Los filtros personalizables de FTK permiten buscar en miles de archivos para encontrar rápidamente la prueba que necesita. FTK ha sido reconocida como la mejor herramienta forense para realizar análisis de correo electrónico.

4. Forense Toolkit (TCT)

TCT incluye una variedad de utilidades para el estudio y la recopilación de datos las partes principales de la caja de herramientas son ladrón de tumbas (un programa de recolección de datos), Lazaruns (un programa de reconstrucción de datos), y mactime (un sistema de archivos de sello de tiempo representante).

5. Caine

CAINE (Medio ambiente de investigación asistido por computador) es una versión italiana de GNU / Linux, fue creado como un proyecto forense digital CAINE ofrece un completo entorno forense que está organizado para integrar herramientas de software existentes como módulos de software y proporcionar una interfaz gráfica amigable.

Estrategias para la recolección de pruebas electrónicas

Llevar un orden de recopilación de información 

Si la recolección de datos se realiza correctamente y de una manera ordenada, es mucho más útil en la detención del atacante y, como tal, tiene una posibilidad mucho mayor de ser admisible en un proceso judicial. El orden de recopilación debe llevarse a cabo siguiendo los siguientes pasos básicos:

Buscar la evidencia.

Determinar dónde puede estar la evidencia que se esta buscando y si esta se

encuentra almacena en el sistema atacado, para ello se hace necesario hacer una listado de verificación que puede ayudar en el proceso de recolección, comprobando que todo lo que se está buscando este en el sistema.

Determinar la relevancia de los datos.

Al descubrir la evidencia, se debe decidir qué partes de ella son relevantes para el caso, para estar seguro, se debe recopilar toda la información necesaria y no excluir ninguna prueba que tenga afinidad con el caso reportado, es necesario

Determinar la volatilidad de la información.

Una vez que se haya determinado en qué lugares se va ha buscar la información,también se debe decidir en qué orden se van ha recolectar, es necesario establecer que dispositivos son volátiles y pueden contener información (un dispositivo volátil es el que funciona en un instante determinado), por lo cual se debe actuar de manera ágil mientras el dispositivo este funcionando, por lo cual se recomienda hacer una lista de elementos con prioridad de apagado para conservarlos activos mientras dure la indagación.

Eliminar la interferencia exterior.

Es muy importante no alterar los datos originales, ya que la información alterada no es fuente confiable de evidencia por lo cual es necesario impedir cualquier contaminación, en algunos casos los atacantes pueden instalar un interruptor que puede borrar evidencia una vez el equipo se desconecta de la red o de Internet.

Recoger la evidencia.

Para iniciar el proceso de recolección puede utilizar todas las herramientas de

software disponibles para esta tarea, recuerde que existen programas libres y propietarios que ayudan a esta tarea. Examine los elementos que ya ha recogido anteriormente y revise que elementos en su listado pueden faltar para que inspeccione nuevamente la escena.

Documentar todas las acciones realizadas.

En los litigios legales cualquier método de recolección de evidencia que se

presenta podrá ser puesto en duda, por lo cual es indispensable mantener un

registro de todo lo que se hace en el proceso de recolección. Las marcas de

tiempo, las firmas digitales, y las declaraciones firmadas sirven para validar el

Bibliografia

Cabrera,H (2013) Informática Forense, Universidad Nacional Abierta y a Distancia. Pasto Colombia.

Zuccardi, G (2006) Informática Forense, Universidad Javeriana. Consultado en http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdf.

Londoño, L (2014) Caso Informática Forense - Electiva II UC [Vídeo]. Disponible en https://www.youtube.com/watch?feature=player_embedded&v=07N3ofgANX4

Benavides, J (2014) Como denunciar delitos informaticos Tutorial En TIC confi­o

[Vídeo]. Disponible en https://www.youtube.com/watch?feature=player_embedded&v=b4UqLbFJ42U

Taphia, C (2013) Tools Para Hacking y Forense | SecurityTrials [Vídeo]. Disponible en https://www.youtube.com/watch?feature=player_embedded&v=oO1ZH4tBMI0