Metodologia para El Analisis Forense Informatico en Sistemas de Redes y Equipos de Computo

INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA

UNIDAD PROFESIONAL “ADOLFO LOPEZ MATEOS”
SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN
PROGRAMA DE POSGRADO EN INGENIERÍA DE SISTEMAS
MAESTRÍA EN CIENCIAS EN INGENIERÍA DE SISTEMAS.
“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS

DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL”
TESIS
QUE PARA OBTENER EL GRADO DE:
MAESTRO EN CIENCIAS EN INGENIERÍA DE SISTEMAS.
PRESENTA:
ING. ARTURO PALACIOS UGALDE.
DIRECTOR DE TESIS:
M. EN C. LEOPOLDO ALBERTO GALINDO SORIA.
MÉXICO D.F. OCTUBRE DE 2010.

METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN

SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL”
RESUMEN
En el presente proyecto de tesis, se presenta explícitamente la problemática

existente de la falta de una metodología de análisis pericial forense en el entorno de la
informática forense, por lo que se propone y aplica una metodología forense para el
análisis de sistemas de redes y equipos de cómputo personal, además se estudian
algunos dispositivos de interés, detallando de forma particular, el análisis sobre una
computadora personal de escritorio, dicho producto de la presente Tesis se pretende funja
como herramienta fundamental para la resolución de contiendas y denuncias judiciales.
La metodología propuesta se encuentra compuesta por cinco Fases: I.-

Planteamiento del problema, II.- Identificación detallada del material objeto de estudio, III.-
Adquisición de evidencia, IV.- Análisis de datos y V.- Presentación de resultados
obtenidos, las presentes Fases se consideran herramientas ineludibles y básicas a la hora
de investigar un hecho delictivo, las mismas nos permitirán efectuar un trabajo sistémico
metodológicamente estructurado y sistemáticamente fundamentado, considerando que la
metodología propuesta sea aplicada por un perito en informática forense en auxilio de la
autoridad judicial.
Con el presente trabajo se busca establecer un marco referencial base de cualquier

investigador forense digital en aspectos técnicos y jurídicos que procure generar y
fortalecer iniciativas multidisciplinarias para la modernización y avance de la
administración de justicia en el contexto de una sociedad digital y de la información.
La metodología propuesta se aplicó, dentro del presente proyecto de tesis, en un

caso de estudio, presentado en el ―Capítulo 4.- Localización de un archivo con
información específica‖, con el fin de iniciar la evaluación de su aplicabilidad.
Ing. Arturo Palacios Ugalde.

Resumen y Abstract.
“METHODOLOGY FOR THE FORENSIC COMPUTING ANALYSIS IN

NETWORKS SYSTEMS AND PERSONAL COMPUTING EQUIPMENTS”
ABSTRACT
In this thesis Project, it is explicitly presented the existing problems due to the lack of
a methodology for the forensic expert analysis in computing, so it is proposed and applied
a forensic methodology for the analysis of networks systems and personal computing
equipments. Also, some interesting devices are studied, particularly detailing the analysis
on a personal desk computer. The result of the present thesis is intended to function as a
basic tool for the resolution of judicial controversies and complaints.
The proposed methodology consists of five stages: I.- Approach of the problem, II.-
Detailed identification of the material subject to study, III.- Obtention of evidence, IV.- Data
analysis, and V.- Presentation of the results obtained. The present stages are considered
as necessary and basic tools at the time of investigating a criminal act, and such tools will
enable us to carry out a systemic work which shall be methodologically structured and
systematically founded, considering that the methodology being proposed shall be applied
by forensic expert in computing, in assistance of the judicial authority.
The present work seeks to establish a basic reference framework for any digital
forensic investigator regarding technical and juridical aspects, tending to generate and
strengthen multidisciplinary initiatives for the modernization and improvement of justice
administration in the context of a digital society and computing.
The methodology proposed was applied within the present thesis project, in a case
under study presented in ―Chapter 4.- Localization of a file with specific information‖, with
the purpose of starting an evaluation of its applicability.

Resumen y Abstract.
Agradecimientos
A Dios:
Por darme la fortaleza y esperanza en los momentos difíciles.
A mi Madre:
Gloria Ugalde y Guzmán
Por su amor infinito, su paciencia, su ánimo, su apoyo durante todos los días
de mi vida, por su espíritu inquebrantable y sus sabios consejos que me han
ayudado a vencer las adversidades y lograr mis metas. Gracias por toda la
confianza que en su momento, depositaste en mí.
A mis Hermanos:
Gabriel, Martin, Armando y Jonathan
Por ayudarme y apoyarme. Gracias por facilitarme las cosas.
A mi Hijo:
Emiliano Palacios Fernández
Porque llegaste a iluminar mi vida, por tu sonrisa que me llena de esperanza

y alegría, por ser mi motor y mi fuerza para seguir adelante.
A mi Familia:
Por todo su amor, cariño y comprensión.

Agradecimientos.
Al Instituto Politécnico Nacional:

Por crear en mí el sentimiento de orgullo.
A mi Director de tesis:
El Profesor Prof. Leopoldo A. Galindo Soria
Por sus invaluables sugerencias y acertados aportes durante la realización
de esta tesis, por su generosidad al brindarme la oportunidad de recurrir y
compartir conmigo su talento y experiencia, en un marco de confianza, afecto y
amistad, fundamentales para la concreción de este trabajo.
A todos aquellos que sin querer omito:
Son muchas las personas a las que me gustaría agradecer su apoyo, ánimo
y compañía en las diferentes etapas de mi vida. Algunas están aquí conmigo y
otras en mis recuerdos y en el corazón. Sin importar en dónde estén quiero darles
las gracias por formar parte de mí y por todo lo que me han brindado.

Agradecimientos.
Índice General.
Índice General i
Índice de figuras y tablas iv
Glosario de Términos viii
Introducción xiii
0.1 Presentación del Proyecto de Tesis xiii
0.2 Marco Metodológico para el desarrollo del proyecto de Tesis xv
Capítulo 1.- Marco Conceptual y Contextual
1.1. Marco Conceptual 2
1.1.1 Pirámide Conceptual 3
1.1.2 Descripción de conceptos clave definidos en la Pirámide 5

Conceptual del Proyecto de Tesis
1.2 Marco Contextual 11
1.2.1 Marco contextual acorde a la pirámide conceptual 11
1.2.2. Descripción del procedimiento básico en informática forense 13
Capítulo 2.- Identificación y Análisis de la Situación Actual
2.1 Antecedentes 22
2.2 Análisis de la situación actual al inicio del Proyecto de Tesis 25
2.3 Justificación del proyecto de Tesis 33
2.4 Definición de Objetivos del Proyecto de Tesis 33
i
Indice.
Capítulo 3.- Desarrollo de la Metodología Propuesta
3.1 Introducción a la Metodología Propuesta 36
3.2 Presentación esquemática de la Metodología Propuesta 41
3.2.1 Fase I. Planteamiento del Problema 45
3.2.2 Fase II. Identificación detallada del material objeto de estudio 45
3.2.3 Fase III. Adquisición de evidencia 46
3.2.4 Fase IV Análisis de datos 47
3.2.5 Fase V. Presentación de resultados obtenidos 48
3.3 Descripción detallada de las Fases de la Metodología Propuesta 51
3.3.1 Fase I. Planteamiento del Problema 51
3.3.2 Fase II. Identificación detallada del material objeto de estudio 55
3.3.3 Fase III. Adquisición de evidencia 78
3.3.4 Fase IV Análisis de datos 89
3.3.5 Fase V. Presentación de resultados obtenidos 106
Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de Estudio

4.1 Aplicación de la Fase I. Planteamiento del Problema 117
4.2 Aplicación de la Fase II. Identificación detallada del material objeto
de estudio 120
4.3 Aplicación de la Fase III. Adquisición de evidencia 153
4.4 Aplicación de la Fase IV. Análisis de datos 176
4.5 Aplicación de la Fase V. Presentación de Resultados Obtenidos 209
ii
Indice.
Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones

5.1 Valoración de Objetivos 238
5.2 Trabajos Futuros 241
5.3 Conclusiones 243
Bibliografía 246
Referencias a Internet 247
iii
Indice.
Índice de figuras y tablas.

Número de
Figura o Descripción: Página.
Tabla.
Capítulo 1: Marco Conceptual y Contextual.
Pirámide Conceptual de los principales conceptos implicados en el
Figura 1.1 4
proyecto motivo de estudio.
Figura 1.2 Reglas generales de la informática forense. 9
Representación esquemática de la intervención pericial en

Figura 1.3 11
informática forense.
Figura 1.4 Representación esquemática del Proceso de Investigación. 13
Figura 1.5 Modelo básico de la informática forense. 18
Figura 1.6 Modelo de informática forense complementario. 18
Productos a obtener bajo la aplicación de la Metodología Propuesta

Figura 1.7 19
en el presente proyecto de tesis.
Capítulo 2: Identificar y Analizar la Situación Actual.

Estándares y directrices, relacionados con la informática forense y
Figura 2.1 26
la seguridad de la información.
Comparativo de ventajas y desventajas de Metodologías y

Tabla 2.1 28
Estándares actuales.
Capítulo 3: Desarrollo de la Metodología Propuesta.

Figura 3.1 Presentación Esquemática de la Metodología Propuesta. 42
Figura 3.2 Presentación Secuencial de la Metodología Propuesta. 42
Figura 3.3 Presentación detallada de la Metodología Propuesta. 44
Imagen en la que se ilustra la posible variedad en cuanto, al

Figura 3.4 57
material a analizar.
Ejemplo en el que se presenta, la forma en que se identifica un

Figura 3.5 posible material objeto de estudio, el cual se describirá a detalle en 58
el respectivo Dictamen Pericial y/o Documento Final.
iv
Indice.
Número de
Figura o
Descripción: Página.
Tabla.
Imagen que se presenta a manera de Ilustrar un posible lugar de
Figura 3.6 60
los hechos.
Imagen con la que se ilustra una posible manera de etiquetar las

Figura 3.7 61
conexiones de un equipo de cómputo a analizar.
Figura 3.8 Se debe restringir el acceso al lugar de los hechos. 62
Imagen en la que se ilustra la firma de archivos de acuerdo a su

Figura 3.9 72
aplicación que lo genero, para tres archivos.
Figura 3.10 Salida tipo pantalla, en la que se muestra el análisis al archivo 104
Index.dat, con el fin de mostrar las cookies almacenadas en éste.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.1 Identificación del material objeto de estudio. 121
Figura 4.2 Identificación del disco duro asociado al material objeto de estudio. 122
Fijación fotográfica del material objeto de estudio, teniendo mayor

relevancia para el presente caso el disco duro asociado a la
Figura 4.3 133
computadora cuestionada, toda vez que es el elemento en donde
se almacena toda la información procesada.
Una vez que se tuvo identificado plenamente al elemento base

(principal fuente de información), para realizar su análisis
Figura 4.4 142
correspondiente, se procedió a colocarle un bloqueador de
escritura.
Figura 4.5 Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖), con la que 146
fue detectado el disco duro, asociado al material objeto de estudio.
Figura 4.6 Salida tipo pantalla en la que se ilustra el número de serie lógico 147
del volumen (―#L##-###L‖).
Figura 4.7 Como primer paso se tuvo que montar el Disco Duro al Software. 159
Figura 4.8 Salida tipo pantalla en la que se observa el contenido del disco a 160
través del software forense AccessData FTK Imager.
Figura 4.9 Salida tipo pantalla en la que se ilustra el ingreso de los datos del 161
caso de estudio.
v
Indice.
Número de Descripción: Página.

Figura o
Tabla.
Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se 162
le indican al software forense, el destino de la imagen.
Figura 4.11 Salida tipo pantalla en la que se observa el progreso en la obtención 163
de la imagen total del disco duro.
Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de 164
la carpeta ―Documents and Settings‖.
Figura 4.13 Salida tipo pantalla en que se muestra el termino del proceso para 165
adquirir la imagen de la carpeta ―Documents and Settings‖.
Figura 4.14 Vista de los archivos generados al finalizar el procedimiento de
166
obtención de la Imagen de la información seleccionada (archivos con
extensión: .ad1 y .ad2).
Figura 4.15 Vista del contenido del archivo generados con el valor Hash de la 169
imagen del disco duro.
Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia 177
adquirida.
Figura 4.17 Vista del archivo que generó el Software Forense al obtener la 184
imagen del disco duro motivo de estudio.
Figura 4.18 Exploración de la imagen forense obtenida. 185
Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos 186
archivos que dan respuesta al Planteamiento del Problema.
Figura 4.20 Salida tipo pantalla en la que se observa como se realiza el proceso 188
de exportación de archivos ubicados.
Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos 197
de los archivos localizados.
Figura 4.22 Conexión del Disco Duro bajo estudio al protector contra escritura. 217
Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de 218
obtención de la Imagen Forense, se efectuó con éxito.
Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que 219
conforman la Imagen Forense del presente caso bajo estudio.
Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos, 220
localizados y que se apegan al criterio especificado en el
Planteamiento del Problema.
vi
Indice.
Número de
Figura o
Descripción: Página.
Tabla.
Figura 4.26 Conexión del Disco Duro bajo estudio al protector contra escritura. 225
Salida tipo pantalla en donde se muestra que el proceso de

Figura 4.27 226
Salida tipo pantalla en donde se muestran los dos archivos que

Figura 4.28 227
conforman la Imagen Forense del presente caso bajo estudio.
Salida tipo pantalla en donde se muestran los dos archivos,

Figura 4.29 localizados y que se apegan al criterio especificado en el 228
Capítulo 5: Valoración de Objetivos, Trabajos Futuros y Conclusiones.
Tabla 5.1 Valoración de los Objetivos Particulares. 241
vii
Indice.
GLOSARIO DE TÉRMINOS.
Para tener una mejor comprensión de la Tesis, a continuación se describen la siguiente

serie de términos usados, se puede observar que varias definiciones se toman con base a
referencias de sitios o páginas de Internet, confiables.
Análisis Forense Digital [http://archivos.diputados.gob.mx/Comisiones/Especiales/

Acceso_Digital/Presentaciones/Procuracion_justicia_PGR.pdf]: conjunto de principios y
técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y
presentación de evidencias digitales y que llegado el caso puedan ser aceptadas
legalmente en un proceso judicial.
Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste

en establecer las responsabilidades y controles de cada una de las personas que manipulen
la evidencia, (The Organization of American States (OAS), La Organización de los Estados
Americanos (OEA)).
Delitos Informáticos [http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg0000

7.html]: son todos los actos que permiten la comisión de agravios, daños o perjuicios en
contra de las personas, grupos de ellas, entidades o instituciones y que por lo general son
ejecutados por medio del uso de computadoras y a través del mundo virtual de Internet.
Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos
medios, sino también a partir de los mismos.
Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema
encomendado para producir una explicación consistente.
viii
Glosario de términos.
Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias
fundamentales del estudio efectuado, los métodos y medios importantes empleados, una
exposición razonada y coherente, las conclusiones, fecha y firma.
A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe

Pericial.
Si los peritos no concuerdan deberá nombrarse un tercero para dirimir la discordia, quien
puede disentir de sus colegas.
Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de

datos en formato binario, esto es, comprende los archivos, su contenido o referencias a
éstos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.
Forense [http://www.rae.es/rae.html]: adj. Perteneciente o relativo al foro. Lugar en que los

tribunales actúan y determinan las causas: foro público.
Hash [http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt]: En informática, hash se refiere

a una función o método para generar claves o llaves que representen de manera casi
unívoca a un documento, registro, archivo, procedimiento que autentica la información o
dato en cuestión (firma digital).
Incidente de Seguridad Informática [http://www.oas.org/juridico/spanish/cyb_analisis

_foren.pdf]: puede considerarse como una violación o intento de violación de la política de
seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los
sistemas informáticos.
ix
Indicio [http://www.bibliojuridica.org/]: El término indicio proviene de latín indictum, que

significa signo aparente y probable de que existe alguna cosa, y a su vez es sinónimo de
señal, muestra o indicación. Por lo tanto, es todo material sensible significativo que se
percibe con los sentidos y que tiene relación con un hecho delictuoso; al decir material
sensible significativo se entiende que está constituido por todos aquellos elementos que son
aprehendidos y percibidos mediante la aplicación de nuestros órganos de los sentidos.
A fin de lograr una adecuada captación del material sensible, nuestros sentidos deben estar
debidamente ejercitados para esos menesteres y, de preferencia, deben ser aplicados
conjuntamente al mismo objeto. De este modo se evita toda clase de errores y distorsiones
en la selección del material que será sometido a estudio. Cuando se comprueba que está
íntimamente relacionado con el hecho que se investiga, se convierte ya en evidencia.
Lugar de los hechos [http://www.bibliojuridica.org/]: Se entiende como el lugar de los

hechos ―El sitio donde se ha cometido un hecho que puede ser delito‖. Toda investigación
criminal tiene su punto de partida casi siempre en el lugar de los hechos, y muchos
criminalistas ya han expresado: ―que cuando no se recogen y estudian los indicios en el
escenario del crimen, toda investigación resulta más difícil‖. Por tal motivo, es imperativo
proteger adecuadamente en primer término ―el lugar de los hechos‖ o como lo denominan
los especialistas ―el sitio del suceso‖, (en los países de habla inglesa se utiliza el término
―escena del crimen‖).
Metodología [Van Gigch, 1987]: Se refiere a los métodos de investigación que se siguen
para alcanzar una gama de objetivos.
Metodología Suave [Checkland, 2005]: La Metodología de Sistemas Suaves (SSM por sus
siglas en inglés) de Peter Checkland; es una técnica cualitativa qué se puede utilizar para
aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse
de los problemas situacionales en los cuales hay un alto componente social, político y
humano.
x
Partición swap [http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.ht

ml]: Una partición swap (al menos 256 MB) — Las particiones swap son utilizadas para
soportar la memoria virtual. En otras palabras, los datos son escritos en la swap cuando no
hay memoria suficiente disponible para contener los datos que su ordenador está
procesando.
Peritaje [Orellana, 1975]: Es el examen y estudio que realiza el perito sobre el problema
encomendado para luego entregar su informe o dictamen pericial con sujeción a lo
dispuesto por la ley.
Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional

dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores,
que suministra información u opinión fundada a los tribunales de justicia sobre los puntos
litigiosos que son materia de su dictamen.
Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas
partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio.
Sistema [Van Gigch, 1987]: Es una reunión o conjunto de elementos relacionados. Estos
elementos pueden ser objetos, conceptos, sujetos; como un sistema hombre-máquina, que
comprende las tres clases de elementos.
Por tanto, un sistema es un agregado de entidades, viviente o no viviente o ambas.
Software [RODAO, 2005]: Se conoce como software al equipamiento lógico o soporte

lógico de una computadora digital; comprende el conjunto de los componentes lógicos
necesarios que hacen posible la realización de tareas específicas, en contraposición a los
componentes físicos del sistema, llamados hardware.
xi
Tales componentes lógicos incluyen, entre muchos otros, aplicaciones informáticas como el
procesador de textos, que permite al usuario realizar todas las tareas concernientes a la
edición de textos o el software de sistema tal como el sistema operativo, que básicamente,
permite al resto de los programas funcionar adecuadamente.
xii
INTRODUCCIÓN.
0.1 PRESENTACIÓN DEL PROYECTO DE TESIS.
El desarrollo de la tecnología informática ha abierto las puertas a nuevas

posibilidades de delincuencia. Los daños ocasionados son a menudo superiores a lo usual
en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que
no lleguen a descubrirse o castigarse estos hechos. El delito informático implica actividades
criminales que los especialistas en legislación, han tratado de encuadrar en figuras típicas
de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas,
sabotajes.
Ante el suceso de un delito informático u otro delito en el que se considere que

equipos de cómputo pueden presentar evidencias, es necesaria la intervención de un perito
en informática forense.
La falta de una metodología para realizar un peritaje en informática forense ante el

suceso de un delito informático en cualquier persona física o moral, pueden impactar de
varias formas tales como: que la evidencia se pierda viéndose alterada y por ende nunca
descubrir al culpable del acto ilícito que nos ocupa, o también podría fincársele una
responsabilidad para el perito en informática forense así como el de no presentar elementos
suficientes como evidencia o que pierdan su valor probatorio frente a un tribunal por que no
se halla preservado la integridad de la información o manejado adecuadamente (cadena de
custodia).
Por lo anterior y de no adoptarse una metodología de peritaje en informática forense,

ante un suceso que así lo amerite, no se tendrá un peritaje confiable recalcando el hecho de
que en nuestro país la informática forense ha tenido un nulo crecimiento en lo que a
desarrollo tecnológico y metodológico se refiere.
xiii
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
De lograr el empleo de una metodología en informática forense, se contará con una

herramienta formal que permita realizar un análisis, estudio e inspección, del elemento
causa del peritaje informático en forma eficiente, confiable, segura y que le dará certidumbre
a los resultados obtenidos.
Por tales motivos, es que se desarrolla el presente trabajo cuya finalidad es la

creación de una “Metodología para el análisis forense informático en sistemas de redes y
equipos de cómputo personal”, para que sea la base fundamental de cualquier peritaje
informático.
Considerando lo anterior, a continuación se muestra el Marco Metodológico que

servirá de guía para el desarrollo del presente trabajo de tesis:
xiv
0.2 MARCO METODOLÓGICO PARA EL DESARROLLO DEL PROYECTO

DE TESIS.
En todo trabajo de investigación, se hace necesario, que los hechos estudiados, los
resultados obtenidos y las evidencias significativas encontradas en relación al problema
investigado, reúnan las condiciones de confiabilidad, objetividad y validez; para lo cual, se
requiere definir los métodos, técnicas y procedimientos metodológicos, a través de los
cuales se intenta dar respuestas a las interrogantes objeto de investigación.
El marco metodológico, para el desarrollo de este Proyecto de Tesis, donde se

propone un “Análisis Forense Informático en Sistemas de Redes y Equipos de
Computo Personal”; indica el conjunto de métodos, técnicas y protocolos instrumentales
que se emplearán en el proceso de recolección de los datos requeridos en el presente
trabajo de investigación. Es importante señalar que tal conjunto de técnicas y herramientas
especializadas deben ser guiadas por una metodología apropiada, basada en el desarrollo
de la ―Tabla Metodológica‖ [Galindo, 2008], en tal sentido, en la siguiente Tabla, se
describen las actividades necesarias para así cumplir con la(s) meta(s) que se ha fijado y
lograr los objetivos o productos deseados, además de indicar las técnicas y herramientas
que se consideran más adecuadas.
xv
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis [Galindo, 2008].
Metodología Actividades Herramientas Metas
Técnicas
Propias del Proyecto (¿Con qué (¿Qué Obtener en
(¿Cómo hacer?)
(¿Qué hacer?) hacer?) particular?)
Avocarse a la tarea de la Investigación y cotejo Consulta de La selección de la
recopilación y análisis de de diversas bibliografía. metodología a seguir.
una metodología a seguir metodologías acordes
para el desarrollo del al presente proyecto de
proyecto de tesis Uso de los tesis.
Métodos Analítico y
Sintético.
Inicio de la aplicación de la Tener bien claro el Inicio del proyecto de
metodología para el objetivo a alcanzar. Tesis.
desarrollo
de la Tesis.
Definir cuál es o será el tema Búsqueda de Computadora El tema de Tesis.
del proyecto de Tesis. información acerca de personal, acceso
interés y que a Internet,
contribuyan a resolver Bibliografía.
un problema.
Identificar y conocer el medio Identificar los Observación. El alcance y el enfoque
ambiente correspondiente. elementos sistémicos. Computadora e que tendrá la Tesis.
Internet.
Investigación
Bibliográfica.
Crear una pirámide Aplicación del método Computadora e Representar
conceptual, para definir el Deductivo es decir Internet. gráficamente el
Marco Conceptual. ubicar de lo general a Investigación proyecto de Tesis y el
lo particular los Bibliográfica. producto principal a
elementos que obtener.
intervienen.
Hacer una descripción de los Hacer una lista de los Computadora e Explicar los conceptos
conceptos definidos en la conceptos incluidos en Internet. en forma breve dando
pirámide conceptual. la pirámide conceptual. Investigación el marco conceptual
Bibliográfica. donde se ubicará el
proyecto de Tesis.
Hacer un análisis de la Creando un cuadro Observación. Información para
situación actual, del área y comparativo con Investigación, justificar la Tesis.
procesos bajo estudio y ventajas y desventajas. Cuestionarios.
realizar una evaluación y Entrevistas.
Computadora e
diagnóstico correspondiente.
Internet
Procesador de
Palabras, Hoja de
cálculo.
xvi
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Continuación)

Metas
Metodología, Actividades Herramientas
Técnicas (¿Qué
Propias del Proyecto (¿Con qué
(¿Cómo hacer?) Obtener en
(¿Qué hacer?) hacer?)
particular?)
Definir la justificación del Llevar a cabo el Análisis del cuadro Computadora Justificar la
proyecto de Tesis. comparativo citado con antelación. e Internet Tesis.
Procesador
de Palabras,
Hoja de
cálculo.
Diseñador de
imágenes.
Definir el objetivo particular y Definir la aportación principal del Computadora Definir los
los generales del Proyecto de proyecto de Tesis y de lo que se e Internet objetivos.
Tesis. obtiene en el proceso de desarrollo. Procesador
de Palabras,
Hoja de
cálculo.
Diseñador de
imágenes
Desarrollo del producto Basándose en metodologías Computadora Metodología
principal del Proyecto de previamente identificadas y e Internet a usar en la
Tesis. Proponer la analizadas, así como diseñando y Procesador Tesis.
Metodología en Informática proponiendo la metodología del de Palabras,
Forense. trabajo de Tesis. Hoja de
cálculo.
Diseñador de
imágenes
Observación,
Análisis e
investigación.
Aplicar la Metodología Siguiendo las actividades de la Con las Alcanzar los
propuesta. Metodología propuesta. herramientas niveles de
pericia y
necesarias en especialización
cada necesarios
Actividad de para llevar a
la cabo una
intervención
Metodología. pericial en
Informática
Forense
precisa,
confiable y por
ende
irrefutable.
xvii
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Final)
Metodología,
Actividades Metas
Técnicas Herramientas
Propias del (¿Qué Obtener en
(¿Cómo hacer?) (¿Con qué hacer?)
Proyecto particular?)
(¿Qué hacer?)
Redacción del Conforme avance en Computadora Escribir el documento
documento de Tesis trabajo la Tesis. Procesador de de Tesis
Palabras, Hoja de
cálculo, Presentación.
Observación, Análisis
e investigación.
Valoración del Revisando el Computadora Conclusiones acerca
cumplimiento de los cumplimiento de los Procesador de del cumplimiento de
objetivos. objetivos. Palabras, Hoja de los objetivos.
e investigación.
Definición de Proponiendo mejoras Computadora Definir trabajos a
trabajos futuros. continuas y seguimiento Procesador de futuro.
al trabajo. Palabras, Hoja de
e investigación.
Conclusiones del Redactar los beneficios y Computadora Conclusiones
proyecto de Tesis. la utilidad que Procesador de referentes al trabajo
representa el trabajo de Palabras, Hoja de de Tesis.
Tesis. cálculo, Presentación.
e investigación.
Con el fin de cumplimentar lo plasmado con antelación, se emplea la ―Metodología para el

Desarrollo y Redacción de un Proyecto de Tesis de Maestría‖ [Galindo, 2005], propuesta por
el Prof. Leopoldo Galindo Soria; misma que será la metodología a aplicar para la
elaboración y la redacción del proyecto en comento.
xviii
Estructura del Documento de Tesis.
El cuerpo de la Tesis se encuentra dividido en 5 capítulos, una sección para conclusiones y

una sección dedicada a trabajos futuros, a continuación se realiza una breve descripción de
cada uno de los capítulos que integran esta tesis, cuya estructura es la siguiente:
Capítulo 1.- Marco Conceptual y Contextual.

Se definen las bases para desarrollar el trabajo de investigación, con el fin de ayudar a
identificar los conceptos y elementos involucrados en esta investigación y el Marco
Contextual, referirá la interacción de los diversos elementos que intervienen en una
intervención pericial en informática forense.
Capítulo 2.- Identificar y analizar la situación actual.

Presenta una definición general de metodología, así mismo se describe el proceso forense
en informática, mostrando un análisis del modelo de informática forense, de manera
adicional se realiza una comparativa teniendo como elemento de cotejo a las guías
internacionales de mayor importancia, de las mejores prácticas en informática forense y la
metodología propuesta, razón por la cual se justifica proponer como proyecto de Tesis el
contar con una nueva metodología en Informática forense, que pueda ser aplicada en
México.
Capítulo 3.- Desarrollo de la Metodología Propuesta.

Se presentan las fases y métodos que la integran, se describe el proceso forense
informático, mostrando un análisis del modelo de informática forense.
xix
Dada esta base teórica, es posible integrar en el proyecto aquellos requisitos más
específicos con los que la metodología propuesta deba cumplir.
La Metodología Propuesta, tiene como base el tener un enfoque sistémico la cual consiste
en: Plantear el Problema, Identificación detallada del material objeto de estudio, Adquisición
de la evidencia, Análisis de los datos, y Presentación de los resultados (la información o
datos obtenidos). En el presente capítulo se genera la estrategia de creación de la
metodología. Esta estrategia considera: la aplicación del método científico, utilización de
metodologías (en el área de la informática forense) para el manejo de la evidencia digital
reconocidas a nivel internacional.
Capítulo 4.- Aplicación de la Metodología Propuesta en un caso de Estudio.

En este capítulo se presenta la aplicación de la metodología propuesta en un caso práctico;
proponiendo con el fin de mostrar su utilidad y funcionalidad la ―Localización de un archivo
con información específica‖, es decir se propuso la Ubicación de información cuestionable.
Razón por la cual es que en este capítulo se desarrollan todas y cada una de las fases que
integran la metodología propuesta.
Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones.

Se analizarán los resultados obtenidos durante el desarrollo de este proyecto, además se
propondrán las posibles adecuaciones para mejorar o ampliar la Metodología Propuesta,
por último se presenta la Bibliografía y Referencias a Internet.
En síntesis, en la siguiente lámina se presenta la estructura general del proyecto de tesis:
xx
―Antes‖ ―Cambio‖ ―Después‖

Introducción.
Presentación del Proyecto de Tesis.
-Presentación del proyecto de tesis.
-Marco metodológico para el desarrollo del proyecto de

tesis.
-Estructura del documento del proyecto de tesis.
Capítulo 1
El marco conceptual y contextual
-Introducción al marco conceptual y contextual.
-Pirámide Conceptual.
-Descripción de Términos.
Capítulo 2
-Análisis, evaluación y diagnóstico de la situación al inicio del
IMPARTICIÓN DE JUSTICIA. proyecto de tesis. INSTITUCIÓN DE PROCURACIÓN
DE JUSTICIA.
-Identificar y analizar la situación actual.
-Análisis de la situación actual al inicio del

proyecto de tesis. SITUACIÓN MEJORADA DE LA
SITUACIÓN ACTUAL: INSTITUCIÓN DE PROCURACIÓN
―AUTORIDAD COMPETENTE‖. -Justificación del proyecto de tesis. DE JUSTICIA.
Capítulo 4.-
-Objetivos del proyecto de tesis. Aplicación de la
Metodología
Propuesta en un
Caso de Estudio.
―ANÁLISIS FORENSE INFORMÁTICO
EN SISTEMAS DE REDES Y EQUIPOS
DE CÓMPUTO PERSONAL‖.
CAPITULO 3
DESARROLLO DE LA METODOLOGÍA PROPUESTA:

FASE I, FASE II, FASE III, FASE IV y FASE V.
FASE I FASE II FASE III FASE IV FASE V
Identificación Presentación
Planteamiento detallada del Adquisición Análisis de de resultados
del Problema. material objeto de evidencia. datos. obtenidos.
de estudio.
Por medio de: ¿Cómo llegar? Para obtener:
Capítulo 4
FASE V
FASE IV
FASE III
FASE II
FASE I
APLICACIÓN DE LAS FASES, DE LA

METODOLOGÍA PROPUESTA.
xxi
Capítulo 1.-
Marco Contextual y Conceptual
1
Capitulo 1: Marco Conceptual y Contextual.
CAPÍTULO 1. MARCO CONTEXTUAL Y CONCEPTUAL.
El Marco Conceptual y Contextual, servirá como Marco de Referencia que se usará en el

presente trabajo de Tesis.
Así, el Marco Conceptual, ayudará a identificar los conceptos y elementos involucrados en

esta investigación y el Marco Contextual, referirá la interacción de los diversos factores que
intervienen en la Informática Forense.
A continuación, se detalla el Marco Conceptual y Contextual.
Tal y como se ha manifestado con antelación en el presente trabajo las nuevas tecnologías
se hacen cada día más importantes; la gente usa el Internet para comprar, las grandes
corporaciones se valen del correo electrónico para funcionar de forma más eficiente y los
delincuentes se hacen diestros en la utilización de los avances tecnológicos como
herramienta para delinquir. La prueba documental y el arma homicida están perdiendo
vigencia con rapidez.
En el presente proyecto de tesis se aborda el tema de la Informática Forense, de la

evidencia digital, de la manipulación de la misma y de los retos que esta tarea conlleva,
dándole un vistazo a las diferentes directrices de manipulación de pruebas electrónicas y de
evidencia digital que los países más avezados en estos temas han planteado como solución
a los problemas de admisibilidad y a otros retos que usualmente se le presentan a un
operador jurídico que pretende usar información almacenada en medios electrónicos como
prueba, razón por la cual, se hace cada vez más necesario que los aparatos judiciales
tengan a su disposición funcionarios y colaboradores que posean los conocimientos
informáticos, técnicos y jurídicos necesarios para ofrecer certeza sobre la integridad de la
evidencia obtenida en entornos digitales.
2
Cabe señalar que al momento de la redacción del presente trabajo se consideraron las
guías generadas en países con mayor desarrollo y experiencia en esta área científica, con
el fin de identificar los rasgos y características esenciales sin el ánimo de realizar juicios a
priori, algunos de estos rasgos considerados esenciales fueron tomados como base para la
creación de la metodología en informática forense motivo del presente proyecto de tesis y
otros procedimientos de los que se hace referencia en materia de peritaje informático.
Una vez concluida esta primera parte del trabajo tendremos una visión holística sobre la
tendencia mundial en materia de Informática Forense aplicada al peritaje informático y sin el
temor de caer en la trampa del etnocentrismo, estaremos en condiciones de realizar una
sugerencia informada para ayudar a la implementación de lo que sería el estándar
Mexicano de buenas prácticas en materia de peritaje informático.
1.1 Marco conceptual
1.1.1 Pirámide conceptual. [Galindo, 2005]
La pirámide conceptual ayuda en gran medida a identificar todos aquellos conceptos y

elementos involucrados que se emplearán en esta investigación, así como, también a
identificar el producto y ver la mejora en el medio ambiente, su estructura de operación y
lectura es de abajo (conceptos más generales) hacia arriba ( conceptos más particulares) y
de izquierda a derecha.
A continuación, se presenta la Pirámide Conceptual, la cual es usada durante el proyecto de

Tesis para definir los conceptos principales:
3
CONTAR CON UNA

METODOLOGÍA EN
INFORMÁTICA FORENSE
APLICABLE EN MÉXICO.
Figura 1.1.- Pirámide Conceptual de los principales conceptos implicados en el proyecto

motivo de estudio. (Adaptada de [Galindo, 2005]).
4
1.1.2 Descripción de conceptos clave definidos en la Pirámide

Conceptual del Proyecto de Tesis
Estos conceptos representan la base para una mejor comprensión del contenido del
presente proyecto de Tesis. Presentación en orden según su estructura de la Pirámide
Conceptual, de abajo hacia arriba y de izquierda a derecha.
Metodología [Van Gigch, 1987 ]: Se refiere a los métodos de investigación que se siguen
para alcanzar una gama de objetivos.
Metodología Suave [Checkland, 2005]: La metodología de Sistemas Suaves (SSM por sus
siglas en inglés) de Peter Checkland es una técnica cualitativa que se puede utilizar para
aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse
de los problemas situacionales en los cuales hay un alto componente social, político y
humano.
El delito [http://www.bibliojuridica.org/]: en sentido estricto, es definido como una conducta,

acción u omisión típica (tipificada por la ley), antijurídica (contraria a Derecho), culpable y
punible. Supone una conducta infraccional del Derecho penal, es decir, una acción u
omisión tipificada y penada por la ley. La palabra delito deriva del verbo latino delinquiere,
que significa abandonar, apartarse del buen camino, alejarse del sendero señalado por la
ley.
Delito informático [Shinder, 2002]: son todos los actos que permiten la comisión de
agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o
instituciones y que por lo general son ejecutados por medio del uso de computadoras y a
través del mundo virtual de Internet.
Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos
medios, sino también a partir de los mismos.
5
Legislación Mexicana [http://www.bibliojuridica.org/]: Recopilación de leyes, decretos,

bandos, reglamentos, circulares y providencias de los supremos poderes y otras
autoridades de la República Mexicana.
Peritaje [Orellana,1975]: Es el examen y estudio que realiza el perito sobre el problema

encomendado para luego entregar su informe o dictamen pericial con sujeción a lo
dispuesto por la ley.
Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional

dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores,
que suministra información u opinión fundada a los tribunales de justicia sobre los puntos
litigiosos que son materia de su dictamen. Existen dos tipos de peritos, los nombrados
judicialmente y los propuestos por una o ambas partes (y luego aceptados por el juez),
ambos ejercen la misma influencia en el juicio.
Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema
encomendado para producir una explicación consistente. Esa actividad cognoscitiva será
condensada en un documento que refleje las secuencias fundamentales del estudio
efectuado, los métodos y medios importantes empleados, una exposición razonada y
coherente, las conclusiones, fecha y firma.
A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe

Pericial.
Criminalística [Moreno, 2009]: es ‖la disciplina que tiene por objeto el descubrimiento,
explicación y prueba de los delitos, así como la detección de sus autores y víctimas‖.
6
La Criminalística es la disciplina coadyuvante del Derecho Penal y de la propia Criminología

frente a un delito.
La Criminalística registra estas interrogantes ¿Cómo?, ¿Por qué?, ¿Quiénes?, ¿Qué

instrumentos Utilizaron?, ¿Dónde?, ¿Cuándo?, etcétera. Consecuentemente la
Criminalística utilizando una serie de técnicas procedimientos y ciencias establecen la
verdad jurídica acerca de dicho acto criminal.
La Criminalística se vale obviamente de todos los métodos y técnicas de investigación

posibles, proporcionados por las más diversas áreas del saber científico; ello en cuanto
sirvan a su objeto. Pero, a su tiempo, va desenvolviendo su propio cuerpo de conocimientos
y adquiriendo autonomía disciplinaria.
Algunos estudiosos han incluido las fuentes de la Criminalística en su concepto:
Así para Moreno González, por ejemplo, la Criminalística "es la disciplina que aplica
fundamentalmente los conocimientos, métodos y técnicas de investigación de las ciencias
naturales en el examen del material sensible significativo relacionado con un presunto
hecho delictuoso con el fin de determinar en auxilio de los órganos encargados de
administrar justicia, su existencia o bien reconstruirlo, o bien señalar y precisar la
intervención de uno o varios sujetos en el mismo".
Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de

datos en formato binario, esto es, comprende los archivos, su contenido o referencias a
estos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.
Indicio [Moreno, 2009]: El término indicio proviene de latín indictum, que significa signo
aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o
indicación. Por lo tanto, es todo material sensible significativo que se percibe con los
sentidos y que tiene relación con un hecho delictuoso;
7
Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste

en establecer las responsabilidades y controles de cada una de las personas que manipulen
la evidencia.
Prueba [Moreno, 2003]: Indicio, muestra o señal de una cosa. Razón testimonio u otro
medio con que se pretende probar una cosa. Criminalisticamente es el indicio o evidencia
que habiendo sido examinado, estudiado y analizado con la opinión de un experto se
fundamenta.
NIST [http://www.nist.gov/index.html]: Instituto Nacional de Estándares y Tecnología,

(NIST, por sus siglas en inglés).
NIJ [http://www.ojp.usdoj.gov/nij/funding/welcome.htm]: Departamento de Justicia de

EE.UU., (NIJ, por sus siglas en inglés).
FBI [http://www.fbi.gov/]: Buró Federal de Investigaciones, (FBI, por sus siglas en inglés).
Análisis Forense Digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]:

Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos,
unos procedimientos y métodos de análisis que nos permitan identificar, recuperar,
reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas
necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios
para realizar nuestra investigación, ya sea criminal o no.
Si llevamos al plano de los sistemas informáticos a la Ciencia Forense, entonces hablamos

de Análisis Forense Digital.
8
De manera más formal podemos definir el Análisis Forense Digital como un conjunto de
principios y técnicas que comprende el proceso de identificación, adquisición, preservación,
análisis y documentación-presentación de evidencias digitales y que llegado el caso puedan
ser aceptadas legalmente en un proceso judicial.
Dado que el último producto del proceso forense (Dictamen) está sujeto al análisis judicial,
es importante que las reglas que lo gobiernan se sigan. Aunque estas reglas son generales
para aplicar a cualquier proceso en la informática forense, su cumplimiento es fundamental
para asegurar la admisibilidad de cualquier evidencia en un juzgado. Dado que la
metodología que se emplee será determinada por el especialista forense, el proceso
escogido debe aplicarse de forma que no se vulneren las reglas básicas de la informática
forense (Figura 1.2).
Por evidencia digital se entiende al conjunto de datos en formato binario, esto es,
comprende los archivos, su contenido o referencias a éstos (meta-datos) que se encuentren
en los soportes físicos o lógicos (equipamiento lógico) del sistema atacado.
Figura 1.2.- Reglas generales de la informática forense [Fuente propia].
9
Dentro del Análisis Forense Digital Básico, podemos destacar las siguientes fases, que
serán desarrolladas con más detalle a lo largo de este documento:
1ª. Identificación del incidente.
2ª. Adquisición o recopilación de evidencias.
3ª. Preservación de la evidencia.
4ª. Análisis de la evidencia.
5ª. Documentación y presentación de los resultados.
Principio de intercambio de Locard [Locard, 1963]: Este principio fundamental viene a

decir que cualquiera o cualquier objeto que entra en la escena del crimen (lugar de los
hechos), deja un rastro en la escena o en la víctima y viceversa (se lleva consigo), en otras
palabras: ―cada contacto deja un rastro‖.
En el mundo real significa que: ―si piso la escena del crimen (término anglosajón, en
México se usa el de Lugar de Hechos) con toda seguridad dejaré algo mío ahí, que puede
ser: pelo, sudor, huellas, etc. Pero, también me llevaré algo conmigo cuando abandone la
escena del crimen, ya sea barro, olor, una fibra, etc.‖ [Locard, 1963]. Con algunas de estas
evidencias, los forenses podrán demostrar que hay una posibilidad muy alta de que el
criminal estuviera en la escena del crimen.
10
1.2 Marco contextual general.
1.2.1 Marco contextual acorde a la pirámide conceptual.
En la Figura 1.2, se muestra la forma de interacción de los diversos factores que intervienen
en un Peritaje de Informática Forense, como son Delito – Legislación - Denuncia –
Intervención Pericial – Dictamen Pericial, con un enfoque sistémico.
La siguiente figura muestra a manera de ilustración el escenario en donde se desenvuelve
un peritaje informático, así como los elementos y/o eventos que se ven involucrados para tal
efecto: Aplicación de Metodología en
Informática Forense, Software y
Herramientas Adecuadas
Legislación
Situación
Actual
Situación Futura
Certeza, Confiabilidad
y Precisión en el
Análisis realizado
Malas sobre el equipo de
Prácticas cómputo motivo de
Forenses. estudio.
Metodología en
Informática Forense
aplicada por un Perito en
Informática
Figura 1.3.- Representación Esquemática de la Intervención Pericial en Informática Forense

[Fuente propia].
11
Bajo el enfoque de la figura 1.2, se observa que la aplicación de la Informática forense se

encuentra apoyada por nuestra legislación; siendo que la sociedad en general rara vez
espera los cambios legislativos para modificar sus conductas, más bien ésta y su realidad
concreta suelen estar varios pasos delante de legisladores y juristas. Si a esta situación
habitual sumamos el hecho de que la informática interactúa con la sociedad a velocidades
exponenciales en lugar que las lineales de las ciencias jurídicas, nos encontraremos ante la
cruda verdad de que, de no hacerse algo de manera inmediata, nos hallaremos cada día
más lejos de la verdad de las conductas que pudieran resultar incriminables en defensa de
los valores reconocidos como protegibles por la sociedad que ampara al orden jurídico o
que éste debe intentar salvaguardar [Cámpoli, 2007].
Sabemos por experiencia, que los medios informáticos alteran al menos en parte, los
esquemas tradicionales de interacción social y ofrecen nuevas formas de relación
interpersonal. De aquí se desprende, como consecuencia necesaria e indispensable, el
hecho de que además sirven como medios de comisión de delitos; es aquí, en donde
resalta la importancia de aplicar una metodología que proporcione a la autoridad una
valoración técnica que sea totalmente confiable.
12
1.2.2. Descripción del procedimiento básico en informática forense.
Las etapas que se describen a detalle a continuación tienen como base las metodologías de
informática forense y procedimientos para la obtención de evidencia digital, las cuales están
consideradas dentro de algunas guías y metodologías en informática forense y serán
descritas con mayor o menor detalle dependiendo de la relevancia que tenga dentro del
presente proyecto de Tesis.
Un análisis en informática forense para que pueda ser válido ante una instancia judicial del
orden civil o penal, debe cumplir por lo menos con dos características esenciales, el empleo
del método científico y el mantener la integridad de la evidencia desde el inicio hasta el final
del proceso de análisis forense informático.
A continuación, se describen las etapas de la metodología básica aplicada al peritaje
informático:
Se presenta la evidencia final obtenida,

un registro detallado y en palabras
Presentación simples.
Búsquedas
Filtros Interpretación de datos
Línea del Tiempo Análisis obtenidos.
Visualización de
Esta etapa busca mantener la
Archivos Preservación integridad de la evidencia, la cual
este caso particular es muy frágil.
Imagen bit a bit de la información,
Adquisición motivo de estudio (copia idéntica).
Descripción a detalle de cada elemento de

Identificación estudio.
Se identifica al elemento cuestionado, equipo

Planteamiento del Problema comprometido o Intrusión realizada.
Figura 1.4 Representación Esquemática del Proceso de Investigación [Fuente propia].
13
En la figura anterior, el ―Proceso de Investigación‖, es representado como una escalera en

donde los pasos o etapas son secuenciales y ascendentes estructurada de tal forma que
conforma, una exhaustiva y rigurosa investigación, garantizando un adecuado tratamiento
de las pruebas, reduciendo de esta forma la probabilidad de errores creados por
improvisaciones, careciendo de metodología alguna y otros peligros potenciales. Este
proceso es aplicado en las investigaciones de carácter penal para una intervención pericial.
1. Planteamiento del Problema.- El planteamiento del problema de la investigación es

la delimitación clara y precisa del objeto de la investigación que se realiza por medio de
preguntas, lecturas (para el caso de archivos ―logs‖ o bitácoras), encuestas pilotos,
entrevistas, etc. En esta etapa cabe tener presente el siguiente pensamiento ―Es más
importante para la ciencia, saber formular problemas, que encontrar soluciones‖ (Albert
Einstein).
La función del planteamiento del problema consiste en revelarle al perito investigador si su

proyecto de investigación es viable, dentro de sus tiempos (considerando y matizando que
cuando existen personas detenidas por algún acto ilícito, la premura es un factor
determinante) y recursos disponibles.
2.- Identificación.- Tiene como fin la localización de las fuentes de información de una
manera lógica, clara exacta e inteligente, cuestionándose que información se requiere para
poder realizar la investigación, por ejemplo estas son algunas de las preguntas básicas que
tienen que hacerse:
¿Qué marca, modelo y características del hardware tiene el equipo o dispositivos

motivo de estudio?
¿El equipo se encuentra encendido o apagado?
14
Si el equipo se encuentra encendido, identificar el Sistema Operativo, características

técnicas (versión del Sistema Operativo, cantidad de memoria RAM, tipo de
microprocesador), dirección IP, MAC address (Media Access Control o control de
acceso al medio).
Ubicar las evidencias e indicios en el sistema - equipo comprometido o vulnerado.
Resguardante del equipo.
3.- Adquisición de la imagen del disco (en general cualquier unidad de almacenamiento)
o recopilación de evidencias. Consiste en llevar a cabo el plan diseñado, de acuerdo a la
información obtenida de la fase de identificación y tiene como objetivo obtener la imagen
(copia bit a bit) de la evidencia digital e información que será necesaria para la fase de
análisis forense, en esta etapa es de suma importancia no alterar la evidencia digital, es
decir, evitar en todo momento que sea modificada la evidencia por la manipulación del
software o hardware, por consiguiente es necesario tomar las medidas de seguridad
necesarias para mantener aislado en lo posible el equipo a inspeccionar.
Dentro de la adquisición de la evidencia digital, el procedimiento será centralizado

principalmente en mantener la técnica apropiada para la informática forense, lo anterior para
tener la certeza de que la evidencia adquirida será aceptada como prueba en un
procedimiento legal, teniendo la posibilidad de ser duplicada y si es necesario que esta
pueda ser analizada por terceras personas.
A continuación se listan algunos aspectos que son indispensables en la fase de adquisición

de la evidencia:
Evaluar y documentar el lugar del incidente (planimetría, fotografía, croquis de

conexiones, etc.).
Manejo adecuado de la documentación y evaluación.

15
Etiquetar y embalar adecuadamente la evidencia para que no sean alterados.
¿Metodología empleada para documentar el material motivo de estudio?
4.- Preservación de la evidencia. Busca mantener la integridad de la evidencia desde su

obtención hasta la fase de presentación. Es difícil demostrar que la evidencia que dejo la
persona que cometió la falta o el delito no fue alterada por las personas que se encontraban
en el lugar de los hechos y que el perito en informática forense que recopilo u obtuvo la
información lo hizo de una manera adecuada y sin alteración alguna.
En la preservación se integra la cadena de custodia que es un elemento clave durante todo

el proceso de la informática forense, que ayuda de manera importante a dar valides y
sustento al hecho ocurrido ante cualquier autoridad.
Con la cadena de custodia se ubica fielmente al material cuestionado o bajo análisis, bajo
resguardo de quienes se encuentra, donde se encuentra almacenada, quien o quienes la
han manipulado, que proceso ha seguido durante su aseguramiento o decomiso, etc.
Esto último es útil, para el perito en informática forense porque se les hace difícil a los
jueces discutir con éxito la integridad de la evidencia digital presentada.
Para demostrar que la evidencia digital no fue alterada desde la fase de adquisición, se le
extrae una huella digital o firma digital (―hash‖, el cual representa de manera unívoca a un
archivo) de la unidad de almacenamiento correspondiente al equipo de cómputo a ser
analizado, esta huella digital es un valor numérico calculado que resume una cantidad de
información, es decir, que un archivo de determinado tamaño al aplicarle esta función, dará
como resultado un valor numérico único, si el archivo llega a ser modificado en cualquiera
de sus partes y se le aplica nuevamente esta función ―hash‖, el resultado será diferente del
original.
Algunos algoritmos criptográficos usados con este propósito son: MD5 o SHA-1.
16
Otro elemento de ayuda para mantener la integridad de la evidencia digital es el uso de

equipos y herramientas que no permitan la escritura en la evidencia o copia digital obtenida
(bloqueadores de escritura), así como el trabajar única y exclusivamente sobre la imagen de
la evidencia digital (copia idéntica bit a bit del original, por ejemplo la imagen de un disco
duro o de una memoria USB).
5.- Análisis de la evidencia.- Se refiere a la interpretación de los datos obtenidos y a la

colocación de estos en un formato lógico y útil, proporciona la evidencia que se busca y está
en función de las habilidades del perito en informática forense.
La fase de análisis debe documentarse en todas sus partes y seguir un método científico
que permita independientemente de la metodología utilizada por el perito en informática
forense, repetir el suceso cuantas veces sea necesario para demostrar que el resultado
obtenido del análisis es el correcto. Es decir:
Se debe extraer la información, procesarla e interpretarla.

Extraerla producirá archivos binarios.
Procesarla generará información entendible.
Interpretarla es la parte más importante del proceso.
El proceso debe poder rehacerse y producir el mismo resultado.
6.- Presentación y documentación de los resultados. Está enfocada a la creación final

de un documento o un reporte para presentar la evidencia final obtenida, debe contener las
conclusiones a detalle de la investigación y análisis.
La información del reporte debe ser completa, clara, acertada, exhaustiva y escrita a
manera de que sea entendible para cualquier lector, conteniendo anexos a manera de
ilustrar a la autoridad competente. Lo anterior se resume como:
En esta etapa se presentan los resultados obtenidos a la empresa, abogados,

autoridad competente, etc.
17
La aceptación de la misma dependerá de:

Forma de presentación.
Antecedentes y calificación de la persona que realizó el análisis.
La credibilidad del proceso que fue utilizado para la preservación y análisis de la
evidencia.
Con el propósito de obtener la mayor cantidad de información necesaria para realizar el

proceso forense y dar pie a la integración de una metodología se realizó un análisis del
modelo de informática forense, el cual se muestra en las figuras 1.5 y 1.6.
Etapa de Etapa de
Etapa de Obtención. Etapa de Análisis.
Identificación. Presentación.
Figura 1.5 Modelo básico de la informática forense [Fuente propia].
Etapa de Etapa de
Etapa de Obtención. Etapa de Análisis.
Identificación. Presentación.
Etapa de
Documentación.
Figura 1.6 Modelo de informática forense complementario [Fuente propia].
18
Considerando lo anterior, ahora se presentará un panorama general de los subsistemas a

obtener, con el fin de que el lector pueda identificar los elementos esenciales que
componen un Sistema de Análisis Forense Informático en Redes y Equipos de Cómputo
Personal.
Figura 1.7 Productos a obtener para el Análisis Forense Informático en Sistemas de Redes
y Equipo de Cómputo [Fuente propia].
De la figura anterior, se observa que el primer elemento a obtener, es el contar con una
―Solicitud Clara y Objetiva‖, ya que de aquí derivará la aplicación de la metodología
propuesta, una vez obtenida esta solicitud se tendrá una ―Situación definida e identificada‖,
de igual manera se obtendrá una adecuada ―Cadena de Custodia‖ para que los resultados
que arroje la metodología sean validos, así mismo se tendrá el ―Material Objeto de Estudio
Asegurado‖ y remitido al perito en informática para su análisis; posteriormente, y en el
mismo orden de ideas se obtendrá la imagen de la evidencia (copia bit a bit o Idéntica), con
el fin de trabajar sobre ella, finalmente se tendrá que obtener el correspondiente Peritaje o
Dictamen Informático.
19
Resumen del Capítulo:
En este capítulo, se presentó el marco conceptual y contextual que se manejará en el

Proyecto de Tesis; además, de describir los conceptos principalmente usados en el
desarrollo del trabajo de Tesis, marcando la diferencia entre Perito, Peritaje e Informática
Forense, el primer concepto hace referencia a un experto en una ciencia o arte cuya
actividad es vital en la resolución de conflictos judiciales, el segundo concepto nos habla del
estudio en sí, que realiza un perito bajo un planteamiento especifico y el tercer concepto nos
refiere que se trata de una disciplina de las Ciencias forenses, que considerando las tareas
propias asociadas con la evidencia, procura descubrir e interpretar la información en los
medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el
caso bajo estudio, como la disciplina científica y especializada que entendiendo los
elementos propios de las tecnologías de los equipos de computación ofrece un análisis de
la información residente en dichos equipos. Por último, se presenta un modelo del Sistema
de ―Análisis Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal‖,
que se desea obtener.
Ahora en el siguiente capítulo, se entrará a la situación actual al inicio del trabajo de tesis,
para identificar que metodologías tratan de obtener o llegar al Sistema, últimamente
referido, para establecer sus ventajas y desventajas, para de esta manera hacer un
diagnóstico de las mismas y entonces definir la posible necesidad de proponer una
metodología, así como la justificación de la misma.
20
Capítulo 2.-
Identificación y Análisis de la
Situación Actual.
21
Capítulo 2: Identificar y analizar la situación actual.
Capítulo 2. Identificación y Análisis de la Situación Actual.
En el capítulo anterior, se presentó el marco conceptual y contextual que se manejará en el

Proyecto de Tesis, también se dió una descripción del procedimiento básico en informática
forense, por último se mostro, el modelo del Sistema de Análisis Forense Informático, en
Sistemas de Redes y Equipos de Cómputo Personal que se desea obtener, ahora se
presentará un riguroso análisis de la situación actual, considerando las metodologías y
estándares actuales.
2.1 Antecedentes.
En nuestro país el análisis forense informático presenta todavía un serio rezago en cuanto
al desarrollo y aplicación de metodologías al m<omento de enfrentarse con una
investigación de carácter forense.
Para solventar la situación anterior, se han desarrollado trabajos internacionales que han
destacado la importancia de contar con una metodología formal y estandarizada al
momento de manejar la evidencia durante el proceso de investigación, tal como el
desarrollado por Jim McMillan en donde cita ―Obedecer una metodología estándar es crucial
para realizar un análisis exitoso y efectivo en la informática forense. Tal como los
programadores profesionales utilizan una metodología minuciosa de programación, los
profesionales forenses también deberían utilizar una metodología de investigación
detallada‖ y además agrega que ―una metodología estándar proporcionará protección y
ciertos pasos comunes que deberán ser realizados durante el proceso de investigación‖,
[http://www.moreilly.com/CISSP/DomA-3-Importance%20of%20a%20Standard%20Methodol
ogy%20in%20Computer%20Forensics.pdf].
22
Ing. Arturo Placios Ugalde.
En el mismo sentido, el Grupo de Trabajo Científico en la Evidencia Digital (SWGDE, por

sus siglas en inglés) [http://www.swgde.org/], resalta la necesidad de contar con procesos
estandarizados, para lo cual presenta un escenario en donde la aplicación de la ley se
enfrenta a un mundo global de transacciones económicas compuesto de dos características
principales: a) muchas de ellas son de carácter internacional y b) los criminales al momento
de actuar pudieran involucrar a naciones diferentes. Aclara que cada nación tiene su propio
sistema legal y que no es razonable esperar que cada una de las naciones conozca de
manera precisa las reglas y leyes que rigen a otros países. Por lo tanto, indica que es
necesario encontrar un mecanismo que permita el intercambio seguro y estandarizado de
evidencia.
Dado que en México no se tienen claros avances de una metodología en la Informática

Forense, de acuerdo a la experiencia personal del suscrito, se concluyó realizar una
investigación a través de Internet orientada a la exploración de documentos relacionados
con el manejo de la evidencia digital, lo anterior ya que en éste, es donde encuentra la
mayor cantidad de información sobre este tema, así como el más actualizado.
La investigación produjo resultados interesantes, pues mediante ella fue posible reconocer a
organizaciones trabajando en conjunto con diversos investigadores. Estos esfuerzos se han
orientado al desarrollo de trabajos que permitan establecer un marco de referencia
coherente.
En el ámbito internacional se identifican algunos organismos cuya cualidad principal, es que

su fin es la investigación sobre el manejo de la evidencia digital. Algunas de estas
organizaciones son: Centro Nacional de Delitos de Cuello Blanco (―National White Collar
Crime Center‖,NW3C, por sus siglas en inglés), [http://www.nw3c.org/], Grupo de Trabajo
Científico en la Evidencia Digital (―Scientific Working Group on Digital Evidence”, SWGDE,
por sus siglas en inglés), [http://www.swgde.org/], Centro Australiano de Alta Tecnología del
Delito (―Australian High Tech Crime Centre‖), [http://www.afp.gov.au/policing/e-
crime.aspx],Centro Nacional de Ciencias Forenses (―National Center for Forensic
23
Science‖,NCSF, por sus siglas en inglés), Sociedad Internacional de Examinadores

Forenses (―International Society of Forensic Computer Examiners‖,ISFCE, por sus siglas en
inglés), [http://www.isfce.com/], Organización Internacional de la evidencia informática,
(―International Organization on Computer Evidence‖,IOCE, por sus siglas en inglés),
[http://www.ioce.org/core.php?ID=1], UNAM-CERT(Equipo de Respuesta a Incidentes de
Seguridad en Cómputo), etc.
Sin embargo, destacan también organismos como la Asociación de Jefes de Policía de

Inglaterra, Gales e Irlanda del Norte (―Association of Chief Police Officers Of England, Wales
and Northern Ireland‖, ACPO, por sus siglas en inglés), [http://www.acpo.police.uk/], Taller
de Investigación Forense Digital (―Digital Forensics Research Workshop‖, DFRW, por sus
siglas en inglés), [http://www.dfrws.org/], Instituto Nacional de Justicia, EE.UU.
Departamento de Justicia (―National Institute of Justice, U.S. Department of Justice‖, NIJ,
por sus siglas en inglés) y el Instituto Nacional de Estándares y Tecnología (―National
Institute of Standards and Technology‖, NIST, por sus siglas en inglés),
[http://www.nist.gov/index.html], por su trayectoria en la última década, ya sea por haber
establecido las bases para el manejo de la evidencia, por abrirse a la comunidad científica,
por pertenecer a un organismo de carácter oficial y sobre todo, por el trabajo continuo
realizado sobre el manejo de la evidencia digital tratando de mantenerse a la vanguardia al
generar documentos actualizados y relacionados con la informática forense.
Guías Mejores Prácticas: Existen gran cantidad de guías y buenas prácticas que nos
muestran como llevar a cabo la gestión de la evidencia digital.
Las guías consideradas para la elaboración del presente trabajo, tienen como objetivo
identificar evidencia digital con el fin de que pueda ser usada dentro de una investigación.
24
Estas guías se basan en el método científico para concluir o deducir algo acerca de la
información. Presentan una serie de etapas para recuperar la mayor cantidad de fuentes
digitales con el fin de asistir en la reconstrucción posterior de eventos.
2.2 Análisis de la situación actual al inicio del Proyecto de Tesis.
Ahora, en el siguiente mapa mental [Buzan, 1996], se pretende identificar algunas de

directrices, guías, y estándares existentes relacionados con la Informática Forense,
obteniendo la orientación de estos, para así identificar bajo qué área de oportunidad o
contexto se estará trabajando durante el proyecto de Tesis:
25
Figura 2.1 Estándares y directrices, relacionados con la Informática Forense y la Seguridad

de la Información [Fuente propia].
26
En general, él análisis se hará para identificar las metodologías existentes relacionadas con
las tecnologías de la Información, en particular se verá la forma de análisis con respecto a la
Informática Forense, para así obtener sus ventajas y desventajas.
Para ésto; se basará en:
1.- Norma ISO-27001:2005, (norma sobre Seguridad de la Información).
2.- Estándar, ―Secure Hash Standard (SHS) Federal Information Processing Standards
Publications (FIPS PUB 180-3)‖, emitido por el Instituto Nacional de Estándares y
Tecnología (NIST), USA, [http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf].
3.- El ―RFC 3227: Guidelines for Evidence Collection and Archiving‖ (Guía Para Recolectar y
Archivar Evidencia), escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea,
Ingenieros del Network Working Group, USA, [http://www.ietf.org/rfc/rfc3227.txt].
4.- ―Handbook Guidelines for the management of IT evidence HB171:2003‖. (Guía Para El
Manejo De Evidencia En IT), Australia, [http://www.saiglobal.com/PDFTemp/Previews/OSH/
as/misc/handbook/HB171.PDF].
5.- ―Best Practices For Seizing Electronic Evidence v.3 A Pocket Guide for First Responders.
- U.S. Department of Homeland Security United States Secret Service‖. (Mejores Prácticas
para la adquisición de Pruebas electrónicas v. 3 Una guía de Bolsillo para respuesta a un
incidente - Departamento de Seguridad de Homeland Estados Unidos Servicio Secreto),
[http://www.ncjrs.gov/App/publications/Abstract.aspx?id=239359].
27
Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales.
Estándar y/o Metodología Ventajas Desventajas

ISO-27001:2005. Es una norma estándar, la cual Se consideran como controles o
describe las buenas prácticas de normas, pero no es en sí un
la Seguridad de la Información. modelo o una metodología.
Es el único estándar aceptado No indica que hacer en caso de
internacionalmente para la que el sistema se vea
administración de la seguridad de comprometido.
la información y aplica a todo tipo
de organizaciones, tanto por su
tamaño como por su actividad.
Cuenta con una guía de Esta guía es compleja y genérica,
implantación. no está pensada en cómo
reaccionar ante una eventual
intrusión al sistema.
Manifiesta las necesidades de la No indica en forma clara y
Evaluación del Riesgo. explícita el cómo obtener tales
necesidades, es decir no indica
con que herramientas o
mecanismos será detectado
determinado riesgo (scanner de
puertos, auditorias etcétera.).
Es un punto de partida. Marca pautas pero no indica
cómo aplicarlas ante una
vulnerabilidad del sistema cuando
se ha sufrido un ataque por parte
de un Hacker.
Estándar, ―Secure Hash Standard Es un estándar en cuanto al No es en sí un modelo o una
(SHS) Federal Information procedimiento matemático de metodología, sino que más bien
Processing Standards obtención del valor Hash por pudiese formar parte de esta.
Publications (FIPS PUB 180-3)‖. medio de los algoritmos: SHA-1,
SHA-224, SHA-256, SHA-384, y
SHA-512.
Considera a los algoritmos de No se hace referencia al algoritmo
reducción criptográfica SHA-1, de reducción criptográfica MD5
SHA-224, SHA-256, SHA-384, y (abreviatura de Message-Digest
SHA-512, como base de este Algorithm 5, Algoritmo de
Standard. Resumen del Mensaje 5) el cual
es un algoritmo de reducción
criptográfica de 128 bits y que
todavía es ampliamente usado
por muchos lenguajes.
28
Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales

(continuación).
Presenta de forma escrupulosa el Una de sus principales falencias
desarrollo matemático así como la respecto al tema abordado en
demostración para la obtención este trabajo de investigación es
de los valores del HASH a partir que no es tratado el HASH como
de determinadas condiciones. una evidencia digital, mucho
menos refiere en qué casos es
importante obtenerlo ni en qué
etapa de la investigación
calcularlo.
RFC 3227: Guidelines for Evidence Determina una serie de buenas Se encuentra sometida a la
Collection and Archiving (Guía Para prácticas, para la recogida, supeditación de las normativas
Recolectar y Archivar Evidencia). almacenamiento y análisis de las vigentes en cada País es algo
evidencias. muy claro, máxime en el caso de
las evidencias digitales, debido a
la facilidad de su alteración y
manipulación. Por ejemplo la RFC
establece la necesidad de tomar
evidencias en función de la
volatilidad de las mismas, no
indicando cómo y con que realizar
el análisis.
Hace hincapié en una correcta Ignora las circunstancias que
recopilación de la evidencia varían en función de muchas
digital. características tales como:
- Los sistemas operativos
involucrados.
- Donde se encuentra la
información.
- Las consecuencias legales.
- Que herramientas utilizamos
para la toma de información.
Especifica el orden de la No se detalla en cómo ni con que
volatilidad de los datos en un realizar el análisis de los
sistema basado en Windows. Esta elementos volátiles tales como:
lista se utiliza para recopilar datos - Registros, caché.
y evidencias volátiles en un orden - contenidos de la Memoria.
determinado para evitar cualquier - Estado de las conexiones de
error en la recolección de red.
evidencias electrónicas (desde lo - Estado de los procesos en
más volátil a lo menos volátil). ejecución.
- Sistemas de archivos
temporales.
- Contenido del Disco duro.
- Configuración física, topología
de la red.
29

(continuación).
Sugiere el minimizar al máximo No hace referencia al uso de
los cambios a los datos Hardware para evitar la escritura
recolectados tales como tiempos sobre cualquier medio de
de acceso. almacenamiento.
Menciona que los métodos No se detalla en los métodos a
utilizados para recopilar las aplicar, no ofreciendo más
pruebas deben ser transparentes detalles, por ejemplo para la
y reproducibles. recolección de archivos con
determinado contenido y/o
formato.
Sugiere la obtención y generación No obliga a la generación de un
de una prueba criptográfica de la valor Hash, para asegurar la
información. Cadena de Custodia.
Handbook Guidelines for the El documento nos provee de una Se considera como una serie de
management of IT evidence guía para el manejo de registros recomendaciones o sugerencias a
HB171:2003, (Guía Para El Manejo electrónicos para que estos seguir pero en si no es un modelo
De Evidencia En IT), Australia.
puedan ser usados como o una metodología.
evidencia judicial o en un
procedimiento administrativo,
planteado como defensor o
testigo.
De acuerdo con lo previsto en Resulta impráctico en la vida real.
este documento se detalla el ciclo
de administración de la evidencia
digital y sus respectivos
elementos.
Hace hincapié en fortalecer la No hace referencia a técnicas ni
admisibilidad y relevancia de la precauciones a tomar al arribar al
evidencia producida por las lugar de los hechos, para
tecnologías de la información. asegurar dicha admisibilidad.
Enuncia algunas Margina de manera absoluta que
recomendaciones sobre el éste, debe ser en estricto apego a
escrutinio de registros (archivos). una solicitud expresa por una
autoridad Judicial competente
para no incurrir en algún delito
(Intervención de comunicaciones
privadas en el caso de e-mail).
Refiere el mantener el control de No describe ningún mecanismo
la integridad de los registros que ayude a preservar la
electrónicos, que permita evidencia digital intacta.
identificar cambios que se hayan
presentado en ellos.
30

(continuación).
En todo su desarrollo realza la No toma en cuenta la
importancia del buen manejo relevancia que tiene la
de la evidencia digital por su evidencia no digital
cualidad de frágil y volátil. (contraseñas escritas en
papeles, impresiones,
topología de red, posición del
Mouse que nos indica si el
usuario es zurdo o diestro y/o
huellas dactilares en teclados),
así como la red de vínculos
con respecto la investigación.
No hace referencia al manejo
de este tipo de evidencia, la no
digital y que se encuentra
íntimamente ligada a la digital.
―Best Practices For Seizing Presenta un compendio de los Esta guía presenta una serie
Electronic Evidence v.3 A problemas mas comunes de reglas, consejos y medidas
Pocket Guide for First encontrados en el lugar de los preventivas a efectuar, cuando
Responders. - U.S. hechos, donde se hallan se tiene la presunción de un
Department of Homeland cometido delitos informáticos delito informático (electrónico);
Security United States Secret (electrónicos). pero carece de un método
Service‖. (Mejores Prácticas sistematizado para aplicar
para la adquisición de Pruebas tales medidas y no provee al
electrónicas v. 3 Una guía de investigador de una
Bolsillo para respuesta a un metodología propiamente.
incidente - Departamento de
Seguridad de Homeland
Estados Unidos Servicio
Secreto).
Resulta práctica en cuanto a Una de sus falencias más
su volumen de información. perceptibles es que resulta
tácita, ya que no abunda en la
información proporcionada,
carece de gráficos, ejemplos y
diagramas.
Marca consideraciones legales Estas consideraciones legales
muy específicas. son proporcionadas por una
guía extranjera.
31
En la Tabla 2.1, se puede apreciar que no se cuenta actualmente con guías y Metodologías
que estén alineadas al contexto Mexicano debido a que:
No indican en forma clara y explícita la obtención de la evidencia digital.

Describen sus etapas en forma teórica (no entrando a detalle), no presentan
ejemplos.
Se asume que se cuentan con los recursos tecnológicos para cada caso a investigar,
no presentando métodos alternativos más económicos con los cuales se puedan
obtener los mismos resultados.
Son de origen extranjero y algunas marcan consideraciones legales muy específicas,
recordando que nuestro país posee todavía en la práctica un Sistema Penal que
diverge al de otros países tal es el caso del Europeo, el Americano y el de algunos
países Sudamericanos como Chile por ejemplo, en el cual su sistema penal está
basado en los Juicios Orales.
Ante el escenario comparativo anterior, a continuación se obtiene la justificación del

proyecto de Tesis.
32
2.3 Justificación del proyecto de Tesis.
Con base en el análisis, la evaluación y el diagnóstico de los estándares y las metodologías

anteriores, se observa que no cumplen con las necesidades de los procesos de análisis
forense informático para el entorno de la sociedad mexicana. Por lo tanto, es necesario
establecer un nuevo conjunto de: estrategias, metodologías, acciones y herramientas para
descubrir en los medios informáticos, la evidencia digital que sustente y verifique las
afirmaciones que sobre los hechos delictivos se han materializado en el caso bajo estudio y
que sean ampliamente aplicables en nuestro país.
De donde en esta tesis se propone una ―Metodología para el Análisis Forense Informático
en Sistemas de Redes y Equipos de Cómputo Personal”, para así afrontar de forma más
adecuada, vanguardista y progresiva, el contexto de los delitos informáticos en México. Para
llegar a lo anterior, se proponen los siguientes:
2.4 Definición de Objetivos del Proyecto de Tesis.
Objetivo General:
Proponer una Metodología con un enfoque sistémico para el análisis forense informático en
sistemas de redes y equipos de cómputo personal.
Objetivos Particulares:
 Conocer el medio ambiente en cuanto a los delitos informáticos, para conocer el
mecanismo de cómo se debe responder ante un eventual ataque informático.
 Analizar las Metodologías y estándares en cuanto a evidencia digital se refiere para
efectuar una evaluación y diagnóstico de la situación actual.
 Aplicar la metodología propuesta en un caso de estudio real para iniciar la evaluación
de su implementación.
33
En este Capítulo, se analizó la situación actual al inicio del proyecto de Tesis, para lo cual
se realizó un comparativo entre las Metodologías para la adquisición y estudio de evidencia
digital, para de esta manera efectuar su correspondiente evaluación y diagnóstico.
Ahora en el siguiente capítulo, se verá en forma detallada en qué consiste la Metodología

Propuesta para efectuar un adecuado análisis forense en informática que nos permita
describir y presentar a la autoridad competente, "cualquier registro generado o almacenado
en un sistema informático que puede ser utilizado como evidencia en un proceso legal".
34
Capítulo 3.-
Desarrollo de la Metodología
Propuesta.
35
Capítulo 3: Desarrollo de la Metodología Propuesta.
Capítulo 3.- Desarrollo de la Metodología Propuesta.
En el presente capítulo, se exponen las fases y métodos que la integran, se describe el

proceso forense informático, mostrando un análisis del modelo de informática forense; dada
esta base teórica, es posible integrar en el proyecto aquellos requisitos más específicos con
los que la metodología propuesta deba cumplir.
En el presente capítulo, se genera la estrategia de creación de la metodología. Esta

estrategia considera: la aplicación del método científico, utilización de metodologías (en el
área de la informática forense) para el manejo de la evidencia digital reconocidas a nivel
internacional.
3.1 Introducción a la Metodología Propuesta.
Con el rápido desarrollo de Internet, todo tipo de usuario es cada vez más dependiente del
uso de redes públicas y privadas, volviendo crítica la protección de la estabilidad de la
infraestructura nacional y mundial que componen la nueva e-economía emergente.
Un Dictamen Pericial es uno de los medios probatorios con más auge en los procesos
civiles, mercantiles y penales, debido al incremento del desarrollo de la ciencia y tecnología
en diversos campos del saber, lo que permite aplicar nuevos métodos de estudio
(metodologías) en la búsqueda de la verdad.
36
Capítulo 3:Desarrollo de la Metodología Propuesta.
La incorporación de las tecnologías de información a la vida personal cotidiana, procesos

administrativos, de gestión y de telecomunicaciones ha marcado la necesidad de incluir a
los medios informáticos como elementos de carácter probatorio, toda vez que los mismos
pueden constituir fácilmente pruebas de manifestaciones de voluntad, consentimiento u
otros hechos de relevancia jurídica.
Uno de los grandes problemas con los que nos encontramos al tratar de incorporar estos
hechos al proceso, es el pensar que las pruebas informáticas son fácilmente creadas,
modificadas o destruidas y que por ello difícilmente podrían ser utilizadas en un proceso
judicial. La realidad es que dentro de la Criminalística o Investigación Científica Judicial, se
ha venido desarrollando una nueva disciplina denominada Informática Forense, la cual
tiene como objeto el estudio de la Evidencia Digital.
El término evidencia ha sido en principio adminiculado al de física dando como resultado el

concepto de ―Evidencia Física‖, lo cual parece ser contrastante con el término ―Evidencia
Digital‖, por cuanto, todo aquello relacionado con el término ―Digital‖ se ha asimilado al
término ―Virtual‖, es decir, como no real o casi real.
Es importante aclarar que los Datos o Evidencia Digital, casi siempre estarán almacenados
en un soporte real, como lo son los medios de almacenamiento magnéticos o magneto
ópticos u otros que se encuentran en fase de desarrollo, siendo todos estos de tipo físicos
por lo que este tipo de evidencia es igualmente física.
37
Es innegable y evidente, que la aparición de la informática marcó el comienzo de la

utilización de nuevos Modus Operandi para comisión de delitos convencionales. De igual
manera es innegable que los ataques contra la infraestructura computacional están
aumentando de frecuencia, en sofisticación y en escala. Esta amenaza cada vez mayor
requiere un acercamiento y colaboración con varias organizaciones públicas, privadas y
académicas, que tomen el papel de liderazgo y coordinación.
Derivado de estos hechos es que se ha generado la aparición de novedosas legislaciones

en los países anglosajones y de habla hispana, tipificando como delitos una gran cantidad
de hechos en los cuales intervienen directa o indirectamente los ordenadores o
computadoras.
Son diversas las variantes de los delitos convencionales que por analogía en la forma de su
comisión se han establecido doctrinariamente como delitos de tipo electrónico, como lo son
por ejemplo, el delito de intersección y espionaje de comunicaciones electrónicas,
asimilables a los delitos de intervenciones telefónicas y grabaciones ilícitas.
La analogía entre el correo convencional y el electrónico, ha dado lugar al establecimiento

de delitos de violación de correspondencia electrónica, así como el acceso indebido a
información contenida en sistemas informáticos.
La falsificación de documentos ya no es exclusiva de las falsificaciones materiales en

soportes de papel, sino que ya existen como delitos: la falsificación de registros y
documentos de tipo electrónico (como la falsificación de documentos públicos y privados).
38
La inclusión de los sistemas de comunicación electrónica, como el correo y transacciones a

través de Internet en el mundo del comercio han terminado de impulsar la necesidad
probatoria sobre los hechos que ocurren en este mundo informático.
Ahora bien, para decidir llevar este tipo de hechos por vía de pruebas al proceso judicial, es
necesario contar con una metodología clara, confiable y veraz, la cual se describe en el
presente proyecto de Tesis resultado de un exhaustivo trabajo de investigación.
Dicha metodología toma en cuenta algunas de las buenas prácticas para la realización de
un adecuado peritaje informático, proponiéndose la siguiente ―Metodología para el Análisis
Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal”, que tendría
un foco operacional en cuanto a las cuestiones fundamentales a las que se enfrenta un
perito en informática forense.
Teniendo claro que en una metodología se deben detallar, los procedimientos, técnicas,
actividades y demás estrategias metodológicas requeridas para la investigación. En esta
deberá indicarse el proceso a seguir en la recolección de la información, así como en la
organización, sistematización y análisis de los datos.
Entonces, la metodología propuesta en el proyecto de tesis será la base para planificar

todas las actividades que demande cualquier investigación forense informática y para
determinar los recursos humanos y financieros requeridos.
39
Si bien no es algo definitivo e infalible (dependiendo del caso se deberá adecuar el método
a emplear), si constituye un conjunto de normas elementales que ahorran esfuerzo y tiempo.
La misma, será una especie de brújula en la que no se produce automáticamente el saber,
pero que evitará que nos perdamos en el caos aparente del universo de la información que
se maneja hoy en día en los medios informáticos, así como no sucumbir en el embrujo de
nuestros prejuicios predilectos.
40
3.2 Presentación esquemática de la Metodología Propuesta.
Considerando lo anterior, la metodología propuesta (Figura 3.1), tiene como base, tener un
Enfoque Sistémico realizando primero el reconocimiento de la razón que tendría una
intervención pericial; es decir Fase I: Planteamiento del Problema; lo anterior, servirá
como entrada o acceso para poder hacer una Fase II: Identificación a detalle, por medio
de la evaluación de los recursos, alcance y objetivos necesarios para realizar la
investigación y así documentarse de todas las acciones y antecedentes que preceden la
investigación.
A partir de ahí, se estará en posibilidad de tener pleno conocimiento del tipo de evidencia
que se busca preservándola; para posteriormente proceder a realizar la Fase III:
Adquisición de la evidencia, para la obtención de la misma sin alterarla o dañarla; así
mismo, el perito en informática forense deberá autenticar que la información de la evidencia
obtenida sea igual a la original, De esta manera se podrá realizar la Fase IV: Análisis de
Datos e identificar como interactúa la información adquirida del material motivo de estudio o
equipo cuestionado.
Para que, finalmente, se esté en condiciones de poder obtener la Fase V: Presentación de

Resultados Obtenidos.
Entonces, ahora se presenta en un esquema general la Metodología propuesta:
41
Figura 3.1 Representación Esquemática de la Metodología Propuesta
[Fuente Propia].
Ahora se muestra la misma metodología en una estructura tipo secuencial:

Identificación Presentación
Planteamiento detallada del Adquisición de Análisis de de resultados
del problema. material objeto evidencia. datos. obtenidos.
de estudio.
Figura 3.2 Presentación Secuencial de la Metodología Propuesta
[Fuente propia].
42
Entonces la figura 3.2, muestra la secuencia de la metodología propuesta en el presente

trabajo, cuyo orden de precedencia debe ser rigurosamente respetado, en cuanto a las
fases.
De esta manera el proceso de investigación logra posicionalidad, consistencia, precisión y

objetividad en la búsqueda de la potencial Evidencia Digital.
A continuación, se presenta una descripción detallada de las fases de la Metodología

Propuesta:
43
Fase I Fase II Fase III Fase IV Fase V

Identificación
Planteamiento del Detallada del Material Adquisición de Análisis de Datos. Presentación de
Problema Objeto de Estudio. Evidencia. Resultados Obtenidos.
Actividad 1.1 Definir Actividad 2.1 Actividad 3.1 Actividad 4.1 Actividad 5.1
adecuadamente el Aseguramiento del Consideraciones Preparación, para Considerar todas y
planteamiento del realizar el análisis cada una de las
material objeto de estudio previas.
problema. correspondiente al caso Actividades, que
y consideraciones de estudio. conforman la presente
generales. Actividad 3.2 Fase, a fin de
Actividad 1.2 Evaluar la cumplimentar lo
Elaboración de la guía Actividad 4.2 Extracción
disponibilidad de los para la obtención de los necesario para estar en
Actividad 2.2 de evidencia.
recursos con los que se datos volátiles. posibilidad de redactar
Evaluación del caso.
cuenta. el documento final.
Actividad 4.3 Extracción
Actividad 3.3 lógica de evidencia.
Elaboración de la guía Actividad 5.2 Analizar y
para la obtención de los considerar todas las
datos no volátiles. Actividad 4.4 Análisis Subactividades, que
de los datos extraídos. conforman la presente
actividad, con el fin de
Actividad 3.4 Plan de elaborar el documento
la investigación para la final.
obtención de datos. Actividad 4.5 Análisis
de tiempo de los
eventos.
Actividad 3.5
Procedimiento para la Actividad 4.6 Análisis
adquisición de la de datos ocultos.
imagen.
Actividad 4.7 Análisis

de aplicaciones y
archivos.
Actividad 4.8 Análisis

de datos de la Red.
Figura 3.3 Presentación detallada de la Metodología Propuesta
[Fuente propia].
Ahora, a continuación se presentan las fases, en forma general, de la Metodología

Propuesta:
44
3.2.1 Fase I. Planteamiento del Problema.
FASE I FASE II
FASE III FASE IV

En esta Fase, se le presenta al forense informático de una manera clara yFASEprecisa
V
el objeto
de la investigación, es decir el fin que tendrá su intervención.
Para cumplir con dicho fin objetivo se sugieren llevar a cabo las siguientes actividades:
Actividad 1.1 Definir adecuadamente el planteamiento del problema.
Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.
3.2.2 Fase II. Identificación detallada del material objeto de estudio.
FASE I FASE II
Para realizar cualquier análisis forense informático, es FASE

necesario
III conocer
FASE IV FASE V previamente el
material objeto de estudio, los datos, dónde están localizados y cómo están almacenados.
Al ser un universo tan heterogéneo el de los sistemas de información donde se pueden

encontrar evidencias digitales, se hace necesaria una clasificación para poder organizar las
mismas.
Para tal, fin se requiere llevar a cabo las siguientes actividades:
Actividad 2.1 Aseguramiento del material objeto de estudio y consideraciones generales.
Actividad 2.2 Evaluación del caso.
45
3.2.3 Fase III. Adquisición de evidencia.
FASE I FASE II
Esta es, la fase más importante y crítica de la aplicación de la metodología, puesto que
FASE III FASE IV FASE V
una vez que se halla comprobado el delito informático el denunciante, la empresa o

institución dañada normalmente deseará llevar a un proceso judicial al atacante. Para ello
es necesario poseer evidencias digitales adquiridas y preservadas de tal forma que no haya
duda alguna de su verosimilitud y siempre de acuerdo a las leyes vigentes.
En general, la evidencia deberá poseer las siguientes características para ser considerada
como tal, de acuerdo a los criterios que requiere la autoridad competente actualmente:
Adminisible.
Autentica.
Completa.
Confiable.
Creíble.
Este proceso de adquisición y preservación se debe realizar tan pronto como sea posible.
Siempre que sea posible hay que evitar los cambios en las evidencias y si no se logra,
registrarlo, documentarlo y justificarlo, siempre que sea posible con la autoridad competente
y/o testigos que puedan corroborar las acciones.
Para tal fin, se requiere llevar a cabo las siguientes actividades:
Actividad 3.1 Consideraciones previas.
Actividad 3.2 Elaboración de la guía para la obtención de los datos volátiles.
Actividad 3.3 Elaboración de la guía para la obtención de los datos no volátiles.
Actividad 3.4 Plan de la investigación para la obtención de datos.
Actividad 3.5 Procedimiento para la adquisición de la imagen.
46
3.2.4 Fase IV. Análisis de Datos.
FASE I FASE II
El concepto de evidencia digital se forma (normalmente) por el contenido de los archivos

(datos) y la información sobre los archivos (metadatos).
La evidencia almacenada debe ser analizada para extraer la información relevante

(relacionada con la investigación) y recrear la cadena de eventos sucedidos. El análisis
requiere un conocimiento profundo de lo que se está buscando y como obtenerlo. Hay que
asegurarse que la persona que analiza la evidencia está totalmente cualificada para ello.
Analizar las evidencias digitales va a depender del tipo de datos a analizar, del tipo de
sistema en el cual se clasifique el dispositivo comprometido (ordenadores, dispositivos
móviles, etc.). Además, en función del tipo de delito (fraude, pornografía infantil, drogas,
etc.) se deberán analizar unos tipos de evidencias y en un determinado orden (el orden
permitirá al investigador forense llegar lo antes posible y de la forma más precisa a las
evidencias digitales para llegar a resolver el delito informático).
Para tal fin, se requiere llevar a cabo las siguientes actividades:
Actividad 4.1 Preparación, para realizar el análisis correspondiente al caso de estudio.
Actividad 4.2 Extracción de evidencia.
Actividad 4.3 Extracción lógica de evidencia.
Actividad 4.4 Análisis de los datos extraídos.
Actividad 4.5 Análisis de tiempo de los eventos.
Actividad 4.6 Análisis de datos ocultos.
Actividad 4.7 Análisis de aplicaciones y archivos.
Actividad 4.8 Análisis de datos de la Red.
47
3.2.5 Fase V. Presentación de Resultados Obtenidos.
FASE I FASE II
Basándose en las fases anteriores, en toda la documentación

FASE III
disponible
FASE IV FASE V
del caso y
apoyándose también en la cadena de custodia (conjunto de pasos o procedimientos
seguidos para preservar la prueba digital que permita convertirla y usarla como evidencia
digital en un proceso judicial), la presentación y/o sustentación del Dictamen Pericial es la
fase de comunicar el significado de la evidencia digital, los hechos, sus conclusiones y
justificar el procedimiento empleado.
El propósito de la presentación del Dictamen Pericial en Informática Forense es

proporcionar al lector toda la Información relevante de las evidencias de forma clara,
concisa, estructurada y sin ambigüedad para hacer la tarea de asimilación de la información
tan fácil como sea posible.
La forma de presentación es muy importante y debe ser entendible por personas no

conocedoras del tema en discusión.
Es decisivo que el perito en Informática Forense presente las evidencias en un formato

sencillo de entender, acompañado de explicaciones que eviten la jerga y la terminología
técnica.
Durante un juicio la investigación debe presentar evidencias informáticas de una manera

lógica, precisa y persuasiva de forma que el juez entenderá y que el abogado de la parte
opuesta no podrá contradecir.
48
Esto requiere que las acciones del perito en Informática Forense puedan ser reconstruidas
paso a paso con fechas, horas, cuadros y gráficos (el uso de programas como Excel, Word,
PowerPoint, etc.; puede ser de gran ayuda en este punto).
Si el abogado del sospechoso (o contraparte) es capaz de levantar dudas sobre la

integridad de la prueba o si es capaz de demostrar que el investigador realizó algún
procedimiento no sustentable, todo el Dictamen Pericial puede ser rechazado.
Es importante, más allá de lo que esté escrito en el Dictamen Pericial, que el forense
informático sustente correctamente ante el juez cada tarea realizada en su investigación.
Para tal fin se requiere llevar a cabo las siguientes actividades:
Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la presente
Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el documento
final.
Actividad 5.2 Analizar y considerar todas las Subactividades, que conforman la presente
actividad, con el fin de elaborar el documento final.
Ahora se describe en profundidad cada una de las fases, en cada una de las cuales se
intentará ser lo más genérico posible para poder abarcar el mayor número de tipos de
evidencias posibles (debido a que existen sistemas, software y hardware muy
heterogéneos).
49
Se da por hecho que el receptor de esta metodología sabrá que, dependiendo del tipo de
delito informático, de los sistemas, de los componentes hardware y software involucrados en
el mismo, podrá aplicar o no las distintas actividades que compongan cada Fase.
Para terminar esta introducción a la metodología vale la pena comentar que siempre que
sea posible los pasos deben ser dados con testigos o notarios ó en presencia de la
autoridad competente con el fin de poder corroborar lo realizado por el experto forense.
Una vez presentada la metodología propuesta, en forma general, a continuación se muestra

en forma detallada:
50
3.3 Descripción detallada de las Fases de la Metodología Propuesta.

3.3.1 Fase I. Planteamiento del Problema.
FASE I FASE II
3.3.1.0 Introducción.
En esta etapa se lleva a cabo la delimitación clara y precisa del objeto de la investigación.
La función del planteamiento del problema consiste entonces en revelarle al perito en
Informática Forense si su proyecto de investigación es viable, dentro de sus tiempos y
recursos disponibles. Por ejemplo, si se le solicita al forense informático que imprima todos
los archivos contenidos en un disco duro con capacidad de un Terabyte, tal Planteamiento
de Problema demandará una cantidad de recursos inconmensurables por lo que se tendrá
que hacer un replanteamiento del problema y acotar para que el análisis sea viable.
Plantear el problema es más bien afinar y estructurar la idea de investigación [Hernández,

1998]. El mismo debe ser verbalizado en forma clara y precisa, de manera que se pueda
investigar con procedimientos científicos, cuando sea posible orientar a la autoridad
competente en como plantear sus cuestionamientos ya que en muchas ocasiones estos
pueden llegar a no ser del todo claros.
De donde el Planteamiento del Problema es una fase que se caracteriza por ser descriptiva,
analítica y objetiva.
Entonces, hay que puntualizar que el perito en Informática Forense deberá ser un experto
en su materia y no tendría por que conocer y/o intervenir en otras áreas del conocimiento
científico (acústica, antropología, medicina, etc.), por lo que se tendrá que tener
precauciones al momento de realizar el Planteamiento del Problema, esto porque al emitir
un dictamen este tendrá que ser ratificado, protestado de decir verdad y defendido ante un
juzgado, en el que se podría tener a un perito (de la contraparte) en una de estas áreas
científicas invadidas por descuido o por desconocimiento de las penas en las que se podría
incurrir por realizar alguna aseveración sin ser especialista en otra área ajena a la nuestra.
51
En este punto bien cabe citar un ejemplo, al perito en informática forense se le solicita emitir
un dictamen pericial sobre pornografía infantil, si bien por sentido común se tiene la idea de
¿que se tendrá que buscar?, lo idóneo será realizar un replanteamiento del problema
estableciendo un criterio de búsqueda de archivos de imágenes y/o video conteniendo
imágenes al parecer de menores de edad con desnudos de parcial a total, teniendo
relaciones sexuales y/o en escenas de sexo explicito.
De esta manera se evitarán futuros problemas legales ya que a un perito en Informática

Forense no le compete determinar si se trata de pornografía infantil ó si es menor de edad,
en su caso sería un abogado el que podría tipificar el delito o un doctor o un antropólogo el
que determinaría si las personas que aparecen en los archivos de imagen y/o video
corresponden a menores de edad.
Otro ejemplo, para denotar la importancia del planteamiento del problema es el siguiente: en
el caso de un fraude consumado por un cajero de un banco, se le podría estar solicitando al
perito en informática forense que: ―Determine si la persona que responde al nombre de X,
con cargo de cajero en tal sucursal bancaria fue la que realizo tales traslados de dinero de
una cuenta a otra‖; un perito en informática no podría asegurar con certeza que fue tal
persona, pero si podría obtener una bitácora de registros ó movimientos de la cuenta
cuestionada (también se le conoce en el medio como ―log‖) y los números de empleados
bancarios que realizaron tales movimientos.
Ahora, a continuación, se describen las actividades de esta fase con mayor detallé:
3.3.1.1 Actividad 1.1 Definir adecuadamente el planteamiento del problema.

El objetivo de esta actividad es que: el perito en Informática Forense se valdrá de su calidad
de experto en la materia para definir de una manera clara y precisa el motivo de su
intervención, orientando a la autoridad competente sobre cómo debe plantear su
cuestionamiento, así como haciéndole saber su competencia y limites. Para ello se tendrá
que hacer lo siguiente:
Identificar de forma general el tipo de intervención a efectuar.
52
Razonar la información de interés (evidencia) por parte de la autoridad competente y

determinar si es competencia de la especialidad de informática ó no. Por ejemplo, se
le solicita al forense informático analicé un CPU, (relacionado con la falsificación de
documentos oficiales) a efecto de sustraer todos los documentos públicos y privados
que se encuentran almacenados en su disco duro y determinar si son falsos.
En este caso, al forense informático si le corresponde realizar la sustracción de todos
los formatos con tales características especificadas pero no así el de determinar si
son auténticos ó falsos, más bien esto sería tarea de la especialidad de
documentoscopía y/o grafoscopía.
3.3.1.2 Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.
Es a partir de esta fase que el perito en Informática Forense: evaluará la disponibilidad de
los recursos con los que cuenta y los que le serán necesarios, sean estos tangibles o
intangibles como el tiempo, esto es, a partir de esta etapa se estará en posibilidades de
realizar un requerimiento pericial; es decir si lo que se solícita es viable o es demasiado
subjetivo, por ejemplo si lo que se solicita es ―determinar el deterioro de un software‖, se le
podrá solicitar que sea más objetivo el motivo de estudio o cuestionamiento.
Entonces, algunos de los recursos a evaluar dentro de esta actividad serán los siguientes:
Temporales, recordar que el factor tiempo en cualquier intervención pericial dentro de

un proceso legal es de suma importancia.
Humanos, toda vez que habrá ocasiones en las que se requiera la intervención de
más de un especialista trabajando en el caso objeto de estudio.
53
Materiales, este punto hace referencia al Hardware que necesite el especialista

forense informático, que por lo general siempre será diferente y acorde al caso bajo
estudio.
Organizacionales, este recurso cobra relevancia en intervenciones, en donde se

requiera un alto nivel organizacional, por ejemplo cuando es necesario realizar varias
visitas, a una determinada empresa en un horario definido, con el fin de realizar un
análisis a determinados equipos, que por necesidades de la empresa no puedan salir
de la misma ni ser apagados.
Ahora, se presenta la Fase II, de la presente metodología, la cual tiene como fin principal, el
llevar a cabo la identificación del material objeto de estudio, el conocer los datos, donde
están localizados y cómo están almacenados:
54
3.3.2 Fase II. Identificación detallada del material objeto de estudio.
3.3.2.0 Introducción. FASE I FASE II

En esta fase, se realiza la identificación de la evidencia, determinando entre otras cosas el
tipo de información que está disponible, así mismo se determina como puede llevarse de
forma segura y finalmente determina que forma parte de la evidencia.
Entre las diligencias urgentes, ocupa el primer plano la realización de la inspección ocular a
cargo de la autoridad competente u órgano investigador, para estar en condiciones de
documentar, todo cuanto le corresponde, disponiendo como primera medida que no haya
alteración alguna de todo cuanto se relaciona con el objeto del acto ilícito y el estado del
lugar donde se cometió.
Una vez que la autoridad competente ha adoptado todas las medidas adecuadas para que
no se altere nada relacionado con el objeto del crimen y el estado del lugar donde se
cometió, debe arbitrar los medios para facilitar la inmediata intervención del equipo de sus
auxiliares directos (peritos, policía judicial, policía preventiva, servicio médico forense etc.),
para que sean ellos los primeros en visitar la escena del delito en procurar de los indicios
que les suministraron "los testigos mudos", tendientes a constatar que realmente se ha
cometido un hecho considerado delictuoso por la legislación penal vigente y todo aquello
que conduzca a la positiva identificación de su autor o autores.
Ese equipo de auxiliares del órgano investigador no actúa en forma indiscriminada, sino
siguiendo un ordenamiento, que permita su actuación ponderable y eficaz para alcanzar el
mejor de los resultados.
A continuación, se hace referencia al orden de expertos que intervendrán bajo un hipotético

casó (posterior a su denuncia), en que esté involucrado un medio informático.
El orden será el siguiente:

55
Perito Fotógrafo: Para documentar fidedignamente todo cuanto se relaciona con el lugar de
los hechos y sus adyacencias, antes de que se toque o remueva nada; porque de lo
contrario, difícilmente se podrán de acuerdo el personal interviniente para determinar que
lugar ocupa cada cosa removida antes de su documentación fotográfica total o en detalle.
Perito Criminalista: Dentro de sus funciones está la de intervenir para tomar por si y verificar
todas las medidas que le permitan confeccionar con exactitud y fidelidad los diversos
croquis que, completándose con la fotografía, brindaran a la autoridad competente y a las
partes, todo cuanto sea de utilidad para alcanzar la verdad en el proceso penal.
Perito en Dactiloscopia: para examinar todos los objetos o lugares idóneos para captar y
preservar las impresiones dactilares producidas por las crestas papilares que se localizan
en los pulpejos de los dedos de las manos, con el fin de identificar científicamente a una
persona. Es conveniente enfatizar que estas impresiones dactilares fueron posiblemente
dejadas por el delincuente y que conducirán a establecer su identidad por medios directos.
Posterior a estas intervenciones entraría en escena el perito en Informática forense, si el

caso involucra computadoras. En el caso de la realización de tomas fotográficas este podrá
solicitar todas las que el crea conveniente.
Satisfechas las tareas preliminares el perito en Informática Forense procederá a identificar

los elementos que necesita para su caso (elementos de estudio).
Recordar, que sin pruebas realmente lo que se tiene no es más que una opinión. Cada caso
es diferente, así que es probable que se necesiten diferentes tipos de pruebas para cada
caso. Saber la clase de evidencia que se necesita es una parte integral de una exitosa
investigación (cartera de clientes, datos que se almacenan en una banda magnética de una
tarjeta plástica o bancaria, etc.). Una premisa esencial es tomar todo lo necesario.
Desafortunadamente, existen cuestiones legales y logísticas relacionadas con este enfoque.
El perito en Informática Forense, debe ser muy cauteloso en el ejercicio de sus funciones,
por cuanto la extralimitación en el encargo pericial puede traducirse fácilmente en un delito
electrónico.
56
Apegarse estrictamente a la cadena de custodia, directrices así como etiquetar todo tal y
como sea removido, conexiones etc.
Figura 3.4 Imagen en la que se ilustra la posible variedad en cuanto, al material a analizar.
La Figura anterior, muestra a manera de ilustración la variedad en cuanto a soportes para

almacenar información.
Ahora, en la Figura 3.5, se ilustra con un posible ejemplo cómo se identifica al material
objeto de estudio:
57
Figura 3.5 Ejemplo en el que se presenta, la forma en que se identifica un posible material
objeto de estudio, el cual se describirá a detalle en el respectivo Dictamen Pericial y/o
Documento Final.
Los hechos que rodean el objetivo de la investigación determinarán el método a utilizar, las
cuales se podrán justificar dentro del Dictamen pericial y/o informe en un apartado de
―Consideraciones Técnicas‖.
Cuando se accede al lugar de los hechos o donde presuntamente se haya cometido algún
delito, se deberá mirar todo cuidadosamente, partiendo del hecho de que ya, se hallan fijado
los elementos de interés así como del visto bueno de la autoridad competente, solo así y
haciendo uso de guantes de látex (para preservar toda impresión dactilar, que no se halla
tomado), se estará en condiciones para tomar algún objeto, con el fin de recabar algún dato
relevante tal como: el número de serie del equipo de computo, modelo etc.
58
Considerar que el lugar de los hechos se clasifican en tres tipos; de acuerdo con sus
condiciones y características pueden ser: lugares cerrados, lugares abiertos y mixtos.
Siempre documentar el lugar de los hechos con tomas fotográficas, a este proceso se le
llama fijación (Figura 3.7). No debe olvidarse que las buenas intenciones no sustituyen a la
experiencia y al adiestramiento.
La fotografía adecuada en este tipo de trabajo requiere la intervención de un experto

provisto de un equipo adecuado. Es preferible esperar una o varias horas y lograr su
cooperación a confiar en un aficionado.
El registró y documentación fotográfica de una escena del delito y sus adyacencias, debe
hacerse cubriendo las mismas etapas señaladas al hablar de los procedimientos escritos.
Tal operación debe llevarse a cabo desde afuera hacia adentro y en sentido de las agujas
del reloj, en forma piramidal, tratando de documentar todas las etapas cubiertas por el
delincuente.
Realizar dibujos, croquis o bocetos de conexiones, y escritos haciendo descripciones de lo

que se vea (por ejemplo si un equipo se encuentra en tal recámara o área de estudio,
apagado o encendido si es esto último que programas se están ejecutando o cuales
archivos fueron los más recientes etc.), de igual manera se tendrá que tener en cuenta
alguna nota al lado del teclado o cercano al equipo de computo donde posiblemente exista
información relacionada con la investigación ó contraseñas.
59
Figura 3.6 Imagen en la que se presenta a manera de ilustración, un posible lugar de los
hechos.
Las notas que se tomaron y fotografías (de preferencia con una cámara réflex o si es digital
del archivo o archivos se deberán obtener su ―hash‖ (En informática, Hash se refiere a una
función o método para generar claves o llaves que representen de manera casi unívoca a
un documento, registro, archivo, etc.)) o dibujos, juntos forman la primera encuesta sobre el
sitio. Conforme avance la investigación esta información recabada nos dará más pistas
sobre donde poder buscar más evidencias, por ejemplo el mouse se encontró en posición
para zurdos, hora en el sistema bajo estudio, hora en la que se efectúo la diligencia etc.
60
Figura 3.7 Imagen con la que se ilustra una posible manera de etiquetar las conexiones de
un equipo de cómputo a analizar.
De lo expuesto con antelación se puede colegir que la presente fase permite tener un
panorama general del caso a investigar; por lo que se deben de realizar las acciones que a
continuación reafirmo, presentándolas de forma desglosada y sistematizada para una mejor
apreciación:
61
3.3.2.1 Actividad 2.1 Aseguramiento del material motivo de estudio y consideraciones

generales.
La presente actividad se refiere a que todo material que sea considerado como evidencia y
por ende para un posible análisis deberá resguardarse adecuadamente bajo las mas
estrictas medidas de seguridad.
3.3.2.1.1 SubActividad 2.1.1 Establecer el perímetro de protección del equipo o equipos

afectados.
El objetivo principal de esta actividad es evitar que la evidencia original sea alterada por las
personas que intervienen en el lugar de los hechos o bien ajenas a esta.
Figura 3.8 Se debe restringir el acceso al lugar de los hechos.
62
3.3.2.1.2 SubActividad 2.1.2 Tener la capacidad para poder determinar lo que ha sucedido
y reconstruir los hechos.
Para tal fin es imprescindible estudiar el lugar del hecho así como la recolección de todos
los indicios, lo cual es materialmente imposible cuando el sitio del suceso no ha sido
protegido y conservado adecuadamente, por lo que se deberá restringir el acceso al lugar
de los hechos, tanto de personas, como de acceso a otros equipos con el mismo fin que el
anterior.
3.3.2.1.3 SubActividad 2.1.3 Preservar toda impresión dactilar abandonada ó ubicada

(huella dactilar latente).
Lo cual será útil para facilitar la identificación del supuesto sospechoso o sospechosos.
Razón por la cual es recomendable el uso de guantes de látex, con el fin de evitar
contaminar los equipos o dispositivos a ser investigados.
3.3.2.1.4 SubActividad 2.1.4 Emplear brazaletes antiestáticos.
Esto con el fin de evitar alterar la evidencia por cargas electrostáticas de aquellas personas
que manipulen los equipos o dispositivos. Así mismo será conveniente el contar con bolsas
antiestáticas para un adecuado y seguro embalaje de la evidencia.
3.3.2.1.5 SubActividad 2.1.5 Determinar la ocurrencia de cualquier incidente y de su

impacto.
Esto con el fin de proveerle a la autoridad competente de una idea general de lo acontecido
y tratar de determinar el tipo de incidente suscitado de acuerdo a la experiencia del
investigador en informática forense, de esta manera el titular de la investigación podrá
determinar el giro que tome la misma.
63
3.3.2.1.6 SubActividad 2.1.6 Considerar todos los componentes que pueden estar
relacionados de alguna forma con la computadora y/o elemento cuestionado.
Se deben considerar todos los elementos relacionados con la especialidad (en el caso
particular Informática), y que forman parte de la cadena de eventos que conducen al hecho
denunciado, ya que con la conjunción de todo el equipo involucrado, se incrementa el área
para realizar la investigación (mayor información aportada al titular de la investigación) y
proporcionar más evidencias durante el caso a investigar.
3.3.2.1.7 SubActividad 2.1.7 Conocer las debilidades, fortalezas y otros conocimientos

relacionados a las fuentes, incluyendo factores humanos y electrónicos.
Con la aplicación de esta actividad se estará en posibilidad de identificar el área probable
donde se pudo haber presentado el incidente y dar una respuesta acertada a lo ocurrido. De
igual modo se le dará una idea al titular de la investigación del tiempo que requiere el
análisis que está solicitando.
3.3.2.1.8 SubActividad 2.1.8 Estar consciente de las limitaciones de sus capacidades

científicas, técnicas o temporales ante el caso expuesto.
De esta forma se podrá evitar que la evidencia se altere por el mal manejo de está (por
ejemplo si no se cuenta con material adecuado para respaldar la información), así como el
de obtener resultados poco confiables o no tenerlos en tiempo y forma, considerando que
muchas veces se contará con sospechosos detenidos relacionados con los hechos que se
investigan.
3.3.2.1.9 SubActividad 2.1.9 Realizar una evaluación de los recursos (en el ámbito de la
información y acceso a la misma, por ejemplo la determinación del origen de un correo
electrónico estará supeditado a la información proporcionada por el proveedor de servicios
de Internet), alcance y objetivos necesarios para realizar la investigación.
64
Al desarrollar esta actividad se podrá determinar, si se estará en posibilidades de poder

desahogar, todos y cada uno de los puntos requeridos por la autoridad competente.
3.3.2.1.10 SubActividad 2.1.10 Contar con un laboratorio de informática forense que

permita realizar el proceso de obtención y análisis.
Esto con la intención de dar un alto valor a la evidencia digital entregada en lo que se refiere
a su manejo y custodia, es recomendable tener un área de acceso restringido con caja
fuerte para el resguardo del material motivo de estudio. Debe considerarse, además, que la
información digital es sensible a la temperatura, y en algunos casos a los campos
electromagnéticos.
3.3.2.1.11 SubActividad 2.1.11 Obtener por escrito la autorización para iniciar la

intervención pericial en Informática Forense, (sea ésta por parte de la autoridad competente
o del dueño del equipo cuestionado, Investigación de equipos). Teniéndose presente, el
principio de secrecía dentro de toda la investigación.
3.3.2.1.12 SubActividad 2.1.12 Documentar todas las acciones y antecedentes que

preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el
incidente y su respuesta al incidente.
Esto determinará el curso de acción a seguir en la Investigación. Se deberá anotar la fecha,
la hora exacta en que se recibió la llamada solicitando la intervención pericial en informática,
medio por el cual se recibió la llamada. Al llegar al lugar de los hechos se deberá anotar: la
hora exacta de llegada, la dirección correcta, nombre de la autoridad que encabeza la
investigación y la persona que le pone a la vista el equipo cuestionado.
65
3.3.2.1.13 SubActividad 2.1.13 Organizar y definir el equipo de Investigación.

Establecer límites, funciones y responsabilidades (por ejemplo en el caso de cuentas de
correo electrónico, contar con un oficio emitido por la autoridad competente en la que se
autorice la intervención a las comunicaciones privadas, especificando periodos de tiempo
para la abertura de mensajes de correo electrónico), en algunos casos será indispensable
que de fe la autoridad competente (esto es que la autoridad se encuentre presente y que tal
acción obre en el expediente), para validar el análisis efectuado.
3.3.2.1.14 SubActividad 2.1.14 Realizar una Investigación preliminar.

Esta misma que se podrá incluir en el Dictamen en Informática en un apartado como
Antecedentes (documentar) que le permita describir la situación actual, si se realizo un
traslado a un lugar, que persona lo atendió, quien le puso a la vista el equipo, hechos, las
partes afectadas, posibles causantes, gravedad y criticidad de la situación, infraestructura
afectada, para lograr una compresión total de la situación actual del incidente y definir un
curso de acción acorde a la situación.
3.3.2.1.15 SubActividad 2.1.15 Identificar el Impacto y la sensibilidad de la información (de

clientes, financieros, comerciales, de Investigación y desarrollo, etc.)
3.3.2.1.16 SubActividad 2.1.16 Analizar el Impacto de los negocios a través de la

investigación del Incidente.
Esto cobra relevancia en los casos en donde el incidente afecta a empresas las cuales
sufren de tiempos de inactividad ó sufren la perdida de información confidencial. De igual
manera resulta importante el determinar el posible costo de un equipo afectado o dañado,
así como las perdidas en ingresos y/o costos de recuperación.
66
3.3.2.1.17 SubActividad 2.1.17 Identificar la topología de red y tipología de red, equipos

afectados (servidores, estaciones de trabajo, Sistemas Operativos, Router, Switches, etc.).
3.3.2.1.18 SubActividad 2.1.18 Identificar los dispositivos de almacenamiento o elementos

informáticos.
Tales dispositivos de almacenamiento pueden ser: Discos Duros, Pen drive, memorias,
tarjetas ―Flash‖, ―Zip Disk‖, Discos Ópticos CDs y DVDs, ―Disquettes‖, etc., que se
consideren comprometidos o cuestionados y sean determinados como evidencia, su marca,
modelo, características, seriales, etc.; así como fijarlos fotográficamente.
3.3.2.1.19 SubActividad 2.1.19 Ejecutar adecuadamente los procedimiento sobre sistemas

vivos (análisis en vivo), para no perder la continuidad en producción de los equipos y su uso
en las instalaciones, evitando la perdida de los datos volátiles.
Es decir, se procederá de acuerdo al criterio del forense informático acorde a las

circunstancias, por ejemplo cuando se trabaje en una Terminal bancaria en donde no se
pueden interrumpir los procesos que se encuentren ejecutándose.
3.3.2.1.20 SubActividad 2.1.20 Identificar los posibles implicados o funcionarios que tengan
relación con la investigación ó que pudieran aportar mayor información.
En este punto bien cabe la posibilidad de efectuar entrevistas, ya sea con usuarios o
administradores responsables de los sistemas (administradores de red o de servidores de
correo), documentar todo y tratar de lograr un conocimiento total de la situación.
67
3.3.2.1.21 SubActividad 2.1.21 Realizar una recuperación de los ―logs‖ de los equipos de
comunicación y dispositivos de red, involucrados en la topología de la red.
3.3.2.1.22 SubActividad 2.1.22 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quién

es el primero que tiene la evidencia?
3.3.2.1.23 SubActividad 2.1.23 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quien

examino la evidencia? (Si anterior a nuestra intervención, intervino alguien mas, por ejemplo
la policía cibernética).
3.3.2.1.24 SubActividad 2.1.24 Responder a las preguntas: ¿Quién va a tener custodia de

la evidencia? y ¿Por cuánto tiempo la tendrá?
Documentar a detalle tal acción.
3.3.2.1.25 SubActividad 2.1.25 Responder a las preguntas: ¿Quién? y ¿Cómo se embaló

y/o almacenó la evidencia?
Documentar de manera detallada.
3.3.2.1.26 SubActividad 2.1.26 Responder a las preguntas: ¿Cuándo se realiza el cambio

de custodia? y ¿Cómo se realiza la transferencia?
Documentar turno, personal y área jurisdiccional (por ejemplo Delegación).
68
3.3.2.2 Actividad 2.2 Efectuar la evaluación del caso.

Aquí el perito en Informática forense valúa la información por su valor como evidencia.
3.3.2.2.1 SubActividad 2.2.1 Situar el status del caso que el perito en Informática Forense
investigará.
Aquí se determina qué sentido tomará la investigación, definiéndose si es simplemente la
violación de una política, normas, lineamientos o bien se trate de un delito.
3.3.2.2.2. SubActividad 2.2.2 Conocer detalles sobre el caso.

El investigador forense antes de llegar a la escena del delito donde se presento el incidente,
debe conocer la mayor cantidad de detalles, tanto del área, equipos, personal, sistemas
operativos que se manejan (plataforma), dispositivos, etc., para saber ante que se
encontrará y acudir con la herramienta y software necesario para la investigación.
3.3.2.2.3 SubActividad 2.2.3 Definir el tipo de evidencia a manejar.

Se refiere al tipo de dispositivo o equipo a investigar, por ejemplo: CD, DVD, disco duro,
USB, computadoras, por ejemplo hacer la diferencia entre un chip y una micro memoria
para equipo fotográfico, etc. Elementos que podrían estar relacionados de alguna forma con
los hechos a investigar.
3.3.2.2.4 SubActividad 2.2.4 Evaluar de manera inicial respecto al caso.

Ésto se refiere a que los forenses informáticos, deben hacer preguntas a las personas
relacionadas con el caso, a los administradores de red y a los encargados de seguridad
para posteriormente documentar las respuestas obtenidas y relacionarlas o vincularlas con
el incidente. Por ejemplo si para la realización de una acción determinada basta con una
cuenta de usuario o se tienen otros candados u otras cuentas para autorizar tal acción.
69
3.3.2.2.5 SubActividad 2.2.5 Rastrear fuentes de información en la estructura

organizacional.
• Perfiles de usuario.
• Investigación en progreso de un determinado lugar o un análisis nuevo.
Se deben de verificar las políticas de uso de equipos o dispositivos de cómputo así como
manuales operativos, para determinar los perfiles de usuarios y verificar que pueden o no
hacer, así como también, ver quiénes pueden acceder al sistema de manera remota, y con
esto delimitar el área de investigación o determinar otra área para llevarla a cabo. Lo
anterior, se ve claramente en los casos de fraude por desvió de fondos relacionados con
sucursales bancarias en donde para realizar tales movimientos financieros (traslados de
dinero de una cuenta a otra ilícitamente por un empleado del banco) en las cuentas de los
clientes es indispensable que más de una cuenta autorizada para dicho fin intervenga es
decir que para realizar tal acción y por citar un ejemplo se requerirá la cuenta de un cajero
un supervisor, un subgerente y si el monto lo amerita hasta del gerente.
3.3.2.2.6 SubActividad 2.2.6 Ubicar, ¿Cuáles son las fuentes de información?
•Localización lógica o física de la evidencia. El perito en Informática Forense puede hacer

uso de alguna herramienta grafica, ejemplo: un administrador de archivos (previa utilización
de un bloqueador de escritura, para no alterar los metadatos de los archivos), un
visualizador de archivos, etc. usados normalmente en una computadora, un análisis físico
desde el punto de vista forense es puramente físico, en este no se considera el sistema de
archivos per se.
Se debe de determinar donde se ubica la evidencia que se está buscando, por ejemplo si
fue cometido el delito por la extracción de información al acceder de manera indebida un
dispositivo de almacenamiento masivo y extraer información confidencial.
70
En este punto bien cabe señalar que el perito en Informática Forense cuenta con una amplia
variedad de software del tipo ―Open Source‖ (gratis); esto gracias a que la comunidad de
Internet ha ido desarrollando gran cantidad de herramientas, que pueden equipararse (si no
por separado, si de forma conjunta) a las herramientas comerciales, con unos costes por
licencia al alcance de muy pocos, algunos programas establecidos por el tipo de licencia
GPL (―General Public License‖) son:
The Coroner‘s Toolkit.

The Sleuth Kit / Autopsy.
Foundstone Forensic Toolkit.
FLAG – Forensic and Log Analysis GUI.
Foremost.
Para ver la imagen desde la perspectiva del sistema de archivos se requiere del uso de un
editor hexadecimal y similares herramientas.
Por ejemplo, para ver y analizar la firma de una aplicación computacional se hará uso de un
procedimiento automatizado para la identificación de las posibles evidencias. Una firma de
archivo es un encabezado o un pie de página (o ambos) en un archivo que indica la
aplicación asociada con un archivo típico, es decir, el "tipo" de archivo.
Lo anterior, se muestra haciendo uso de un editor hexadecimal (WinHex) con el fin de hacer
un análisis de la firma de las siguientes aplicaciones, en este caso un documento de Word,
un archivo grafico JPG y un archivo de Adobe Acrobat.
Las firmas (en hexadecimal) son:
25h 50h 44h 46h, para Adobe Acrobat Reader files (PDF).
FFh D8h FFh, para JPEG archivo de formato gráfico; y
D0h CFh 11h E0h A1h B1h 1Ah E1h, para archivos de Microsoft Office.
71
Figura 3.9 Imagen en la que se ilustra la firma de archivos de acuerdo a su aplicación que lo
generó, para tres archivos.
Las firmas de archivos son útiles para evaluar si un sujeto está tratando de "ocultar
archivos‖, en un plano oculto cambiando las extensiones de archivo. Por ejemplo, renombrar
un gráfico desnudo.jpg a tareas.doc puede ser eficaz para darle clandestinidad a un archivo
ante los curiosos, aunque ingenuo a los ojos de un perito en informática.
72
3.3.2.2.7 SubActividad 2.2.7 Identificar las fuentes de información, tanto de personas,

como de aquellas que se encuentran almacenadas de manera lógica.
Se realiza para delimitar el área de búsqueda.
3.3.2.2.8 SubActividad 2.2.8 Determinar el diseño preliminar o enfoque del caso.
En este paso se prepara un resumen general para hacer la investigación de manera

acotada, (en condiciones de cierta premura podría servir como un avance de Dictamen
Pericial (un Dictamen con muy poco tiempo a disposición del investigador)).
3.3.2.2.9 SubActividad 2.2.9 Fijar el lugar de los hechos con tomas fotográficas y
grabaciones de diferentes ángulos en el área del lugar de los hechos antes de la
recolección de la evidencia.
Esta acción se hace para verificar en ellas si algo no fue considerado durante la
intervención pericial y además es de utilidad como evidencia de lo encontrado.
3.3.2.2.10 SubActividad 2.2.10 Fijar fotográficamente los periféricos (teclado, ―mouse‖,

impresora, escáner, etc.), que se encuentran en el lugar de los hechos.
Ayuda a mantener una correlación de eventos y proporciona mayor oportunidad de
encontrar la evidencia.
3.3.2.2.11 SubActividad 2.2.11 Fijar fotográficamente las conexiones físicas del equipo
motivo de estudio.
Esto servirá para demostrar cómo se encontró el equipo a ser investigado.
73
3.3.2.2.12 SubActividad 2.2.12 Documentar la información observable.
Debe de anotarse de manera estructurada la información observable por parte del perito en
informática forense, con la intención de hilar ideas y escribir en el Dictamen pericial lo
observado desde el inicio del proceso de la investigación.
3.3.2.2.13 SubActividad 2.2.13 Identificar si el equipo se encuentra encendido o apagado.
Ayuda a determinar los pasos a seguir para la etapa de obtención.
3.3.2.2.14 SubActividad 2.2.14 Reconocer el sistema operativo (sistema de archivos) del

dispositivo del cual se obtendrá la información.
Ayuda a determinar la estructura de archivos y permite definir el tipo de software a utilizar.
3.3.2.2.15 SubActividad 2.2.15 Documentar la fecha y hora del sistema, para demostrar la
hora en la que se dio inicio a la investigación.
Por ejemplo si se trata de mensajes de correos electrónico checar la zona horaria, está
información cobra relevancia en los casos de algún cateo ó en el caso en el que se discute
la fecha de creación de un archivo.
3.3.2.2.16 SubActividad 2.2.16 Interrumpir las conexiones de la red de cómputo.
Se lleva a la práctica para evitar que alguien de manera remota altere la evidencia.
74
3.3.2.2.17 SubActividad 2.2.17 Realizar movimientos con el Mouse (ratón) de forma

periódica.
Lo anterior, siempre y cuando el investigador acceda a la escena del delito y el equipo de
cómputo cuestionado se encuentre encendido. Considerar que algunos equipos cuentan
con contraseña en el protector de pantalla por lo que será necesario realizar movimientos de
Mouse a efecto de fijar la pantalla que se encuentra activa, así como programas ejecutados
y archivos abiertos, en la etapa de adquisición se describirá el orden de obtención de
información volátil.
3.3.2.2.19 SubActividad 2.2.18 Preparar un diseño detallado.

• Ajuste a nivel detallado de las necesidades actuales.
• Consideración de la preparación del tiempo estimado, y los recursos requeridos para
completar cada caso.
3.3.2.2.21 SubActividad 2.2.19 Determinación de recursos requeridos para la investigación

con respecto al hardware, software y herramientas de informática forense.
3.3.2.2.22 SubActividad 2.2.20 Marco legal relacionado al incidente

• Detalles generales a nivel internacional
• Detalles generales del fuero federal
• Detalles generales del fuero común
Este punto es muy importante, ya que deben considerarse antes de proceder con la
obtención de información y ver a qué delito corresponde, así como si es del fuero común o
federal.
75
Recordando que uno de los mayores inconvenientes que presentan los delitos informáticos
es la frecuente extraterritorialidad que traen aparejados, ya que los delitos pueden ser
cometidos por una persona que se encuentra físicamente en un país y los efectos pueden
producirse en otro, instalando interrogantes sobre la autoridad competente para juzgar
dichos delitos.
3.3.2.2.23 SubActividad 2.2.21 Enumerar los pasos a ser realizados durante la

investigación, previa información obtenida.
Una vez asegurado el lugar de los hechos y obtenida la información relacionada al

incidente, se prepara el procedimiento a seguir para la obtención de información, cuyo
propósito es poder reconstruir los eventos realizados durante la etapa de adquisición, por lo
que se requiere que éste sea documentado en cada uno de los pasos a seguir.
3.3.2.2.24 SubActividad 2.2.22 Corroborar diseño de investigación.
Se hace con el propósito de verificar que los pasos decididos son correctos, acordes y
justificados con la situación del incidente.
3.3.2.2.25 SubActividad 2.2.23 Identificar el riesgo implicado.
Se orienta a que el forense informático debe documentar los problemas que espera
encontrarse o que obliga a que puedan ocurrir, se podrá incluir en el correspondiente
dictamen un apartado de consideraciones técnicas.
76
Por ejemplo; cuando el material motivo de estudio es una cuenta de correo electrónico
gratuita (previa autorización del propietario de la cuenta), conviene informar dentro del
Dictamen Pericial que en la creación de la misma no se contó con ninguna medida de
autenticación, con respecto a los datos del creador de dicha cuenta de correo electrónico,
así mismo se deberá informar, que todo aquel que conozca el nombre de usuario y
contraseña podrá ingresar a la misma y por ende modificarla; por último, se deberá poner
del conocimiento a la autoridad competente que tales cuentas de correo electrónico
gratuitas, pierden su vigencia si no se consultan periódicamente, es decir desaparecen.
El producto final de esta fase, debe proporcionarle a la peritación que se está llevando a
cabo, la información que permita definir un punto de inicio para la adquisición de datos y
para la elaboración del documento final.
77
3.3.3 Fase III. Adquisición de Evidencia.
FASE I FASE II
En esta Fase se procede a adquirir la evidencia sin alterarla o dañarla, se autentica que la
información de la evidencia sea igual a la original.
Aquí se juega un papel muy importante durante el proceso legal de la informática forense,
en la que se mantiene la integridad de la evidencia obtenida y se establece la cadena de
custodia para demostrar el manejo que le fue dado a la evidencia digital por parte del
forense informático que realiza la investigación.
Se deberán definir los equipos y herramientas determinadas para llevar a cabo la

investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación.
3.3.3.1 Actividad 3.1 Efectuar consideraciones previas.

De no contar con lo necesario para conservar intacta la información digital y/o desahogar el
estudio requerido (por ejemplo: si el perito en informática forense requiere para emitir su
Dictamen, el acceso a algún equipo ó base datos, se le deberá permitir el mismo),
informarlo a la autoridad competente, suspendiendo por el momento el estudio requerido.
Se tendrá que tener especial cuidado en las implicaciones legales al intervenir y obtener
información de un medio electrónico (el Ministerio Público tendrá que dar fe del análisis), así
como el de no alterar los metadatos de la información almacenada.
3.3.3.1.1 SubActividad 3.1.1 Estudiar de la mejor manera posible, las condiciones que
se presentan previas a la adquisición de la evidencia.
• Implicaciones legales de la adquisición de datos, (metodología aplicada en la obtención de
información, para su debida legalidad y autenticidad).
78
• Documentar la cadena de custodia.
El perito en Informática Forense, después de haber cubierto la etapa de identificación, debe

tomar en cuenta estas consideraciones para mantener la cadena de custodia y estar en
posibilidades de garantizar la individualización, seguridad y preservación de los elementos
materiales y evidencias (en el caso particular evidencia digital), recolectados de acuerdo a
su naturaleza o incorporados en toda investigación, destinados a garantizar su autenticidad
para los efectos del proceso.
3.3.3.1.2 SubActividad 3.1.2 Requisitar por escrito la autorización, para realizar el análisis
forense en informática.
Este punto es recomendable que se tenga resuelto ya sea antes de proceder con la
obtención de la imagen forense o bien antes de empezar con el análisis en vivo sobre el
dispositivo informático cuestionado.
3.3.3.1.3 SubActividad 3.1.3 Documentar la configuración y características del hardware

del sistema.
Esta SubActividad tiene como fin el de lograr la plena identificación del material objeto de
estudio, evitando con ésto que se dude de la autenticidad de un equipo, dichas
características deben de anotarse dentro del formato u oficio de la cadena de custodia.
3.3.3.1.4 SubActividad 3.1.4 Elaborar el plan de adquisición de la evidencia digital.
• Información adquirida a través de tomas fotográficas.
• Información obtenida durante la intervención del perito en informática forense e

investigación en curso.
79
En esta Fase se considera la metodología (métodos y/o técnicas), con la que se llevará a
cabo la adquisición de datos, identificando que es lo más conveniente de acuerdo a las
características del incidente, priorizando la obtención de datos volátiles del dispositivo y
posteriormente aquellos que no lo son.
3.3.3.2 Actividad 3.2 Elaborar la guía para la obtención de los datos volátiles.
Cuando se realiza la recolección de evidencia, se debe proceder de lo volátil a lo menos

volátil. Si el equipo se encontró encendido no apagarlo hasta que este completa la
obtención de la evidencia.
Por otro lado mucha información podría perderse si se enciende el equipo, considerando
que el atacante halla modificado el proceso de inicio/apagado con algún ―Script‖ (código que
se ejecuta cuando se enciende o apaga la maquina), para destruir la evidencia.
A continuación se enumeran de acuerdo a su volatilidad, los elementos a considerar para la

obtención de evidencia:
1. Registros, ―cache‖ (es una parte de la memoria de la memoria principal que se puede
utilizar como buffer (En informática, un ―buffer‖ de datos es una ubicación de la
memoria en una computadora o en un instrumento digital reservada para el
almacenamiento temporal de información digital, mientras que está esperando ser
procesada)para guardar temporalmente los datos transferidos con el disco).
2. Tabla de procesos, estadísticas del kernel (En informática, un núcleo o kernel es un

software que actúa de sistema operativo).
80
3. Tablas de ruteo. Para mostrar la tabla de enrutamiento IP en equipos que ejecutan

sistemas operativos Windows Server 2003, puede escribir ―route print” (comando
que se ejecuta) en el símbolo del sistema. También puede examinarse la tabla de
ruteo de una máquina con el comando netstat. La opción -r del mismo muestra la
tabla de ruteo (la opción -n es para no convertir números en nombres).
4. ―Cache ARP‖ (del inglés ―ADDRESS RESOLUTION PROTOCOL‖, tabla donde se

almacenan las direcciones IP de internet, ARP convierte un protocolo de Internet (IP)
a su dirección física de red correspondiente).
5. Sesiones abiertas.
6. Configuración de la red.
7. Memoria RAM (RAM son las siglas en ingles de ―random access memory‖, un tipo de
memoria de computadora a la que se puede acceder aleatoriamente; es decir, se
puede acceder a cualquier byte de memoria sin acceder a los bytes precedentes. La
memoria RAM es el tipo de memoria más común en computadoras y otros
dispositivos como impresoras).
8. Directorios temporales del sistema.
9. Estado de la red.
10. Directorios abiertos.
11. Archivos abiertos.
81
12. Configuración física, topología de red.
13. Disco.
Tomándose como base las condiciones presentes del equipo o dispositivos a ser
analizados, se prepara la guía que determinará cuál será la fuente inicial de obtención de
información, misma que tratará de no ser alterada por el perito en Informática Forense y
debe considerar además, que ésta puede variar de un momento a otro por los procesos que
se están ejecutando dentro del equipo o dispositivo.
El orden que debe seguirse es de lo más volátil a lo menos volátil.
Cabe señalar que al momento de obtener evidencia de medios magnéticos tales como
discos duros, será indispensable el uso de bloqueadores de escritura con el fin de preservar
y no alterar la evidencia. Esto puede observarse cuando se accede a un archivo y se
modifican sus metadatos tales como la fecha de modificación.
3.3.3.3 Actividad 3.3 Elaborar la guía para la obtención de los datos no volátiles.
A continuación se enumeran algunos de los elementos a considerar para la obtención de

evidencia, los cuales por sus características no se consideran volátiles:
1. CPU,monitor, teclado.
7. Discos duros, disquetes, CD y DVD.
8. Memorias Usb.
9. Impresora y escáner.
10. Tarjetas de red, módems, routers, hubs, switch etc.
82
El perito en Informática Forense debe seleccionar cuales serán las fuentes de información
con las que iniciará la investigación, dando prioridad a aquellos que considere de mayor
relevancia.
3.3.3.4 Actividad 3.4 Elaborar el plan de la investigación para la obtención de datos.

1. Descubrir datos relevantes.
• No obtener información innecesaria.
2. Encontrar la evidencia.
Este plan consiste en descartar la información no relacionada con el incidente para acotar la
búsqueda de la evidencia.
3.3.3.5 Actividad 3.5 Crear el procedimiento para la adquisición de la imagen.

De acuerdo al soporte donde se encuentre almacenada la información se deberá establecer
el mecanismo (es decir software y tamaño de archivos generados por este), para la
obtención de su respectiva imagen forense (copia bit a bit), si es necesario calcular el Hash
de la imagen adquirida.
3.3.3.5.1 SubActividad 3.3.1 Crear una copia física exacta de la evidencia.
Documentar el proceso de obtención de la imagen forense. Para la obtención de la imagen

forense de un disco duro por ejemplo se podrá hacer uso del programa: Forensic Toolkit
(FTK) de AccessData (este programa realiza imágenes de originales como parte de su
funcionalidad) [http://www.accessdata.com/], el cual en su portal de Internet permite bajar
una versión demo o bien hacer uso de software ―Open Source‖ para tal efecto.
83
En muchos casos resulta impracticable realizar copias de la evidencia original por

impedimentos técnicos u otras razones de tiempo y lugar. En estos casos se deberán
extremar las precauciones durante la investigación, siempre aplicando técnicas de análisis
de datos no-invasivas y utilizando todas las herramientas forenses (bloqueador de escritura)
que estén al alcance, a fin de no alterar la evidencia.
Éste paso es indispensable hacerlo de manera detallada, ya que forma parte del documento
final que tiene como objetivo el análisis y es un elemento esencial para reconstruir el
desarrollo del estudio técnico.
3.3.3.5.2 SubActividad 3.3.2 Determinar los tipos específicos y cantidad de medios de los
cuales se obtendrá la imagen forense (copias bit a bit).
Si existe diferentes dispositivos a los cuales se les obtendrá la imagen se deben etiquetar
correctamente a fin de no cometer errores en el manejo y custodia.
3.3.3.5.3 SubActividad 3.3.3 Usar hardware o software para bloqueo de escritura.
Es indispensable contar con este tipo protección para no alterar la evidencia original y
mantener su integridad, desde el inicio de la investigación.
3.3.3.5.4 SubActividad 3.3.4 Verificar la integridad de nuestra evidencia calculando el

―Hash‖ por medio de los algoritmos MD5 ó SHA-1.
Este procedimiento nos permitirá corroborar que la imagen forense obtenida es una copia
duplicada bit a bit de la evidencia original. Este valor será guardado en un archivo de
preferencia de texto plano .txt para presentarlo si es requerido.
84
Entonces lo anterior se traduce a que se verificara la integridad de nuestra evidencia con el

cálculo del hash al disco original y de la imagen forense. Si los hashes son los mismos,
entonces podemos asegurar que la copia hecha es un duplicado bit a bit de la evidencia
original.
Ejemplo de valor ―Hash‖: 04c09fa404ac7611b20a1acc28e7546c
3.3.3.5.5 SubActividad 3.3.5 Custodiar el dispositivo de donde se obtendrá la imagen

forense, hasta su creación, verificación de la imagen forense y su respectivo respaldo, para
evitar que esta sea alterada de manera intencional.
3.3.3.5.6 SubActividad 3.3.6 Esterilizar el medio forense donde se almacenará la imagen.
Antes de que la imagen se deposite en un disco duro es una buena práctica esterilizar o
limpiar esté medio de destino en la computadora forense. Una limpieza forense remueve
cualquier vestigio o contenido previo en el disco duro, asegurando que el abogado de la
defensa no pueda pretender argumentar que cualquiera de las pruebas obtenidas
corresponde a contenidos anteriores en el disco, causado por la mezcla de la evidencia.
Una limpieza forense es diferente a formatear un disco duro. Una limpieza forense puede
lograrse con el comando dd (linux):
# dd if=/dev/zero of=/dev/hdb1 bs=2048
La instrucción /dev/zero provee tantos caracteres null (caracteres nulos), (ASCII NUL, 0x00;
no el carácter ASCII "0", 0x30) como se lean desde él.
85
El dispositivo lógico / dev / zero es una fuente infinita de ceros. Debido a que hemos
especificado nuestra salida a / dev/hdb1 escribirá una serie de ceros a cada sector de la
primera partición del segundo disco duro IDE. El argumento de BS especifica que dd debe
leer en bloques de 2048 bytes, reemplazando el valor predeterminado de 512 bytes.
Podemos comprobar que el procedimiento fue realizado con éxito utilizando el comando
grep.
# grep –v ‗0‘ /dev/hdb1
―Grep‖ es una utilidad que realiza búsquedas de palabras clave dentro de archivos. Estamos
buscando la cadena "0" en el dispositivo lógico / dev/hdb1. El argumento -v especifica algo
de una búsqueda inversa, es decir, despliega todo lo que aparece en el medio que no sea
‗0‘. Si grep encuentra algo que no es ‗0‘, se imprimirá el resultado en pantalla.
3.3.3.5.7 SubActividad 3.3.7 Llevar un manejo adecuado en el almacenamiento de

múltiples imágenes.
Si por razones de falta de medios de almacenamiento se utiliza un único dispositivo, y si

fuera el caso que existieran diferentes imágenes almacenadas en un disco duro este debe
ser organizado (por directorios), de manera adecuada para no confundirse en el manejo de
su contenido, (tener presente que una imagen forense de un disco duro estará formada por
varios archivos generados por el software forense empleado).
3.3.3.5.8 SubActividad 3.3.8 Asegurar que el medio que almacene la imagen, no sea
utilizado para imágenes posteriores, a menos que se le aplique un procedimiento que
garantice su esterilización.
86
Esto evitará que información almacenada en un dispositivo contenedor antes utilizado

contenga información que pueda desvirtuar la evidencia original.
3.3.3.5.9 SubActividad 3.3.9 Crear otra imagen de respaldo, y procurar trabajar sobre está.
3.3.3.5.10 SubActividad 3.3.10 Registrar cualquier anomalía o circunstancia inusual

encontrada durante la creación de la imagen por medio de algún formato (capturas de
pantalla, etc.), para estar en posibilidades de hacer alguna aclaración.
3.3.3.5.11 SubActividad 3.3.11 Registrar cualquier acción efectuada, para investigar y

rectificar los errores de la obtención de la imagen, los cuales deberán ser documentados.
3.3.3.5.12 SubActividad 3.3.12 Establecer que cualquier desviación del procedimiento para
la obtención de la imagen ó intervención sobre la evidencia requerirá de la aprobación del
perito en informática forense y ser documentado, es decir que no se puede manipular la
imagen sin autorización del perito en informática responsable.
3.3.3.5.13 SubActividad 3.3.13 Establecer una política del manejo y almacenamiento de la

evidencia para mantener su integridad.
Deben definirse claramente las acciones a seguir con el manejo de la evidencia.
3.3.3.5.14 SubActividad 3.3.14 Establecer, las condiciones posteriores a la adquisición:

• Manejo de imágenes forenses
• Manejo de la evidencia obtenida

• Conservación
• Transporte
87
Existen varios tipos de mecanismos que son utilizados para asegurar el transporte de la
evidencia, debido a que esta debe hacerse en bolsas antiestáticas, aislantes de
comunicaciones y en un buen contenedor para evitar que esta se dañe. Otro punto,
importante para asegurar la evidencia es que se deben mantener bajo un ambiente
específico de humedad y temperatura, si el ambiente es muy cálido, húmedo o frío los
componentes electrónicos y medios magnéticos pueden ser dañados.
Ahora, a continuación se presenta la fase IV:
88
3.3.4 Fase IV. Análisis de Datos.

De manera similar a la fase anterior se deberán definir criterios de búsqueda con objetivos
claros, debido a la gran cantidad de información disponible, que nos pueda desviar la
atención o sencillamente complicar el proceso de análisis de la información.
Esta fase permite determinar las causas que originaron un incidente informático y debe ser
documentada en todas sus partes, para reconstruir las veces que sea necesaria la forma en
la que se encontró o encontraron las evidencias digitales. Es importante mencionar que está
es una metodología general en la que se contemplan de manera global cada uno de los
pasos que deben ser considerados durante esta fase, ya que para realizar el análisis
específico de cada tipo de estructura de archivos y/o sistemas operativos, dispositivos de
almacenamiento, discos compactos CD y DVD, memorias USB, etc. deben elaborarse
metodologías específicas para cada uno de ellos.
3.3.4.1 Actividad 4.1 Preparar, el análisis correspondiente al caso de estudio.

Corroborar que ya se cuenta con una imagen forense, de información y/o respaldo de la
misma.
3.3.4.1.1 SubActividad 4.1.1 Contar con disponibilidad de datos:

Es recomendable tener a la mano las copias forenses correspondientes al material objeto de
estudio con el fin de llevar a cabo su respectivo análisis.
• Copias forenses: análisis y respaldos
89
Una buena práctica a llevar a cabo es la de utilizar la copia del segundo original, a su vez el
segundo original preservarlo manteniendo un buen uso de la cadena de custodia.
Así mismo, antes de iniciar con la fase de análisis, se recomienda se tenga la cantidad de
copias necesarias para la realización de todas las pruebas necesarias que requiera la
investigación.
3.3.4.1.2 SubActividad 4.1.2 Determinar el alcance del incidente, la extensión del daño
originado por él así como la naturaleza del mismo.
Disponer de una estrategia de respuesta, que permita abordar el problema de manera clara
y precisa.
3.3.4.1.3 SubActividad 4.1.3 Evitar lo más que se pueda el uso de la computadora si está
se encuentra encendida y/o evaluar si conviene realizar el análisis de evidencia digital en
vivo y/o post-mortem (apagado).
Un análisis en vivo es aquel que utiliza el sistema operativo u otros recursos del sistema
investigado para encontrar pruebas. Un análisis post-mortem es aquel que utiliza
aplicaciones de confianza en un entorno seguro para encontrar pruebas, es decir es el
análisis que se realiza con un equipo dedicado específicamente para fines forenses para
examinar discos duros, datos o cualquier tipo de información recabada de un sistema que
ha sufrido un incidente.
90
Con un análisis en vivo es posible obtener información falsa, ya que el sistema podría estar
ocultando o falsificando maliciosamente la información (utilizando algún tipo de ―rootkit‖, por
ejemplo).
Es importante tener presente que un ―rootkit‖ es una herramienta (algún tipo de código de
programa), o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder
otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten
al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer
información sensible.
3.3.4.1.4 SubActividad 4.1.4 Evitar encender la computadora, en la medida de lo posible.

Esto es como se menciono en la actividad anterior por la posibilidad de encontrar algún
programa que se ejecute al inicializarse el equipo de computo ó mas aun por la posibilidad
de alterar la información almacenada en el disco duro, sobra decir que en este caso el
análisis será realizado extrayendo su o sus medios de almacenamiento (de información),
previa colocación de un bloqueador de escritura.
3.3.4.1.5 SubActividad 4.1.5 Fijar fotográficamente la pantalla de la computadora, si está

se encuentra encendida, y de preferencia cuando se observe algo de interés para la
investigación.
3.3.4.1.6 SubActividad 4.1.6 Realizar movimientos periódicos del Mouse.

Lo anterior cuando la computadora (cuestionada ó bajo estudio), se encuentre encendida
(ésto mostrará la imagen en la pantalla). Después cuando la imagen aparezca, fotografiar la
pantalla.
91
3.3.4.1.7 SubActividad 4.1.7 Apagar la computadora del cable de alimentación (cuando el

investigador se apersone en el lugar de los hechos ó escena del delito y la computadora
este encendida).
Si la computadora es una ―laptop‖ y no se apaga cuando el cable es retirado, localizar y

retirar la batería. La batería es comúnmente colocada en el fondo, y generalmente hay un
botón o conmutador que permite la supresión de la batería. Una vez que la batería es
retirada, no la regrese a la computadora portátil. Retirar la batería evitará encendidos
involuntarios de la ―laptop‖.
Lo anterior, es recomendable cuando se posee software de análisis forense y se tiene el

propósito de efectuar la recuperación de datos en el espacio del disco duro llamado ―swap‖.
En informática, el espacio de intercambio es una zona del disco (un archivo ó partición) que
se usa para guardar las imágenes (procesos temporales) de los procesos que no han de
mantenerse en memoria física (permite hacer creer a los programas que tienen más
memoria (RAM) que la que disponen realmente). A este espacio se le suele llamar swap, del
inglés "intercambiar", (por lo que al apagar la maquina este espacio se elimina, acompañado
de su información).
3.3.4.1.8 SubActividad 4.1.8 Considerar manuales e instructivos, documentos y notas que

se considere aporte datos a la investigación.
3.3.4.1.9 SubActividad 4.1.9 Buscar información relacionada con el criterio de búsqueda

(descrito en el Planteamiento del Problema).
Es decir el tipo de evidencia que se está buscando por ejemplo documentos, fotografías,
nombres, cadenas de caracteres (como las usadas para las tarjetas de crédito), bases de
datos, grabaciones de audio, correos electrónicos, etc.
92
3.3.4.1.10 SubActividad 4.1.10 Determinar si los archivos no tienen algún tipo de cifrado.
3.3.4.1.11 SubActividad 4.1.11 Preparar el directorio o directorios de trabajo.
Con base a toda la información previa, se debe seleccionar el área de trabajo bajo la cual se
iniciará el análisis, considerando el tamaño de la información a analizar.
3.3.4.1.12 SubActividad 4.1.12 Crear una estructura para directorios y archivos

recuperados.
Es importante llevar un estricto control al momento de recuperar información, por lo que se

deberá tener especial cuidado al momento de obtener el ―path‖ (ruta de ubicación original
del archivo recuperado). El comando ―Dir‖ de Ms-Dos es puede ser una útil herramienta
para este fin, pero tener en consideración que este comando no es una herramienta
Forense, (no lista archivos en espacio por asignar y otros detalles que a un Software
Forense no se le escapan).
3.3.4.2 Actividad 4.2 Efectuar la extracción de Evidencia.
Una vez que se cuenta con la imagen Forense de la evidencia digital adquirida, se estará en
condiciones de explorar y obtener ó desechar, lo que motiva la intervención del perito en
Informática Forense.
3.3.4.2.1 SubActividad 4.2.1 Efectuar la extracción física de evidencia.

Se llevará a cabo la sustracción de todos y cada uno de los archivos relacionados con los
hechos que se investigan, así como cualquier otra información ó dato requerido por la
autoridad competente.
93
3.3.4.2.2 SubActividad 4.2.2 Documentar los procedimientos seguidos durante toda la

etapa de análisis.
Lo anterior con el fin de que todo procedimiento que se lleve a cabo sea repetible y
verificable por otro Investigador Forense con el propósito de reconstruir lo realizado durante
la investigación.
3.3.4.2.3 SubActividad 4.2.3 Identificar y recuperar los datos en los dispositivos físicos.
Esto es, obtener las características físicas del dispositivo a ser analizado, para que
posteriormente sean verificadas, por ejemplo, capacidad de almacenamiento, número de
serie, etc.
3.3.4.2.4 SubActividad 4.2.4 Recavar información, nombres de usuario e información del

AD (Directorio Activo).
Active Directory es una implementación de servicio de directorio en una red distribuida
centralizado que facilita el control, la administración y la consulta de todos los elementos
lógicos de una red (como pueden ser usuarios, equipos y recursos).
3.3.4.2.5 SubActividad 4.2.5 Recuperar archivos y fragmentos de archivos útiles de los

directorios corruptos o perdidos.
Los cuales se encuentran en el dispositivo y que no puedan ser descritos por el sistema de
archivos o por el sistema operativo. Algunos de los programas lideres en análisis forense
informático son: Forensic Toolkit (FTK) de AccessData o EnCase de Guidance Software.
3.3.4.2.6 SubActividad 4.2.6 Identificar y recuperar los archivos objetivo (determinados por
algunos criterios, ejemplo aquellos que han sido afectados por el incidente).
Y si se quiere comparar su hash (archivos del sistema operativo y/o aplicaciones) con los
hash de archivos que nos facilita la http://www.nsrl.nist.gov/, o sítios como:
94
http://www.wotsit.org/
http://www.processlibrary.com/
Es importante señalar que una vez que ubicamos un archivo de sistema y que se tenga la
duda de que se encuentre alterado o que sea el oficial y legítimo publicado por la fuente
oficial, la solución por ejemplo será el revisar el Hash MD5 que es publicado por la empresa
o desarrollador de software que publica el archivo, y compararlo contra el Hash MD5 que
una herramienta calcule con base al archivo que nosotros bajamos (existen varias en
Internet).
3.3.4.2.7 SubActividad 4.2.7 Llevar a cabo la recuperación de archivos, archivos borrados

y la recuperación de información oculta intencionalmente.
3.3.4.3 Actividad 4.3 Efectuar la extracción, lógica de evidencia.
3.3.4.3.1 SubActividad 4.3.1 Identificar y recuperar archivos y datos basados en la

instalación del sistema operativo, sistema de archivos y / o aplicaciones.
3.3.4.3.3 SubActividad 4.3.3 Utilizar la herramienta adecuada para realizar el análisis.

Debe definirse la herramienta a ser utilizada para llevar a cabo el análisis y documentarse
sus resultados.
3.3.4.3.4 SubActividad 4.3.4 Extraer la información del sistema de archivos, para revelar
las características de la estructura de directorios, atributos, nombres, estampas de tiempo,
tamaño y localización de archivos.
95
3.3.4.3.5 SubActividad 4.3.5 Extraer los archivos pertinentes para la evaluación,

basándose en nombre y extensión del archivo, cabecera de archivos, contenido y ubicación
dentro del dispositivo de almacenamiento.
3.3.4.3.6 SubActividad 4.3.6 Recuperar archivos borrados o archivos en espacios sin

asignar (―Unallocated File Space‖).
Es indispensable recuperar los archivos que se hallan eliminado ya que en ellos se podría
encontrar información valiosa para ayudar a esclarecer los hechos que se investigan.
Esto es cuando los archivos son borrados o suprimidos en DOS, Win9x, WinNT/2000, el
contenido de los archivos no es verdaderamente borrado. A menos, que se utilice algún
software especial que ofrezca un alto grado de seguridad en el proceso de eliminación, los
datos "borrados", permanecen en un área llamada espacio de almacenamiento no-asignado
(―Unallocated File Space‖).
Igual sucede con el ―file slack‖( El espacio de almacenamiento de datos que existe desde el
final del archivo hasta el final del cluster se llama "file slack", los sistemas basados en DOS,
Windows 95/98/ME/XP y Windows NT/2000 almacenan los archivos en bloques de tamaño
fijo llamados ―clusters‖, en los cuales raramente el tamaño de los archivos coinciden
perfectamente con el tamaño de uno o muchos ―clusters‖), asociado al archivo antes de que
éste fuera borrado. Consecuentemente, siguen existiendo los datos, escondidos pero
presentes, y pueden ser detectados mediante herramientas de software para el análisis
forense informático.
3.3.4.3.7 SubActividad 4.3.7 Extraer archivos protegidos con ―passwords‖ (contraseña),

encriptados y datos comprimidos.
Si se tiene la lista de ―passwords‖ (contraseñas) de usuarios y la colaboración de los
usuarios, la investigación será más fácil, de no ser así deberá documentarse el empleo de
herramientas que permitirán efectuar la extracción de contraseñas.
96
3.3.4.3.8 SubActividad 4.3.8 Utilizar software enfocado al análisis forense informático con
el fin de extraer la información del “file slack”.
Desde un punto de vista de la investigación, el ―file slack‖ es un entorno rico para encontrar
pistas y evidencia.
Por ejemplo el ―file slack‖ puede contener pistas y evidencia en forma de fragmentos de
procesador de palabras, correo electrónico, chats en Internet, noticias de Internet y la
actividad de navegación por Internet.
Los sistemas basados en DOS, Windows 95/98/ME/XP y Windows NT/2000 almacenan los
archivos en bloques de tamaño fijo llamados clusters, en los cuales raramente el tamaño de
los archivos coinciden perfectamente con el tamaño de uno o muchos clusters.
El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final
del cluster se llama "file slack". Los tamaños de los clusters varían en longitud dependiendo
del sistema operativo involucrado y, en el caso de Windows 95/98/ME/XP, del tamaño de la
partición lógica implicada.
Un tamaño más grande en los ―clusters‖ significan más ―file slack‖ y también mayor pérdida
de espacio de almacenamiento. Sin embargo, esta debilidad de la seguridad del
computador crea ventajas para el investigador forense, porque el ―file slack‖ es una fuente
significativa de evidencia y pistas.
3.3.4.3.9 SubActividad 4.3.9 Obtener información del Archivo ―Swap‖ de Windows.
Los sistemas operativos Microsoft Windows utilizan un archivo especial como un "cuaderno
de apuntes" para escribir datos cuando se necesita memoria de acceso aleatorio adicional.
En Windows 95/98/ME/XP, a estos archivos se les conoce como Archivos ―Swap‖ de

Windows.
97
En Windows NT/2000 se conocen como directorios de página de Windows pero tiene

esencialmente las mismas características que los de Win9x.
Los archivos de intercambio son potencialmente enormes y la mayoría de los usuarios de

PC son inconscientes de su existencia.
El tamaño de estos archivos puede extenderse desde 20MB a 200MB, el potencial de estos
es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes
electrónicos, la actividad en Internet (cookies, etc), ―logs‖ de entradas a bases de datos y de
casi cualquier otro trabajo que haya ocurrido durante las últimas sesiones. Todo ésto,
genera un problema de seguridad, porque el usuario del computador nunca es informado de
este almacenamiento transparente.
Los Archivos ―Swap‖ de Windows actualmente proporcionan a los especialistas en

informática forense pistas con las cuales investigar, y que no se podrían conseguir de otra
manera.
3.3.4.4 Actividad 4.4 Analizar los datos extraídos.
3.3.4.4.1 SubActividad 4.4.1 Conceptualizar: agregación, correlación, filtrado y generación

de metadatos.
El perito en Informática Forense debe estar familiarizado con estos conceptos para
descubrir de manera eficiente la evidencia que se está buscando
3.3.4.4.2 SubActividad 4.4.2 Efectuar un pre análisis de la evidencia.

• Agregación y transformación: Unificación y recuperación de datos.
• Generación de metadatos: categorización e indexación, esto es se registraran
ordenadamente los datos e información obtenida de la evidencia.
98
3.3.4.4.3 SubActividad 4.4.3 Efectuar análisis de flujo de datos y procesos.

En él se determina si existen procesos ajenos a los propios del sistema operativo o de las
aplicaciones.
3.3.4.4.4 SubActividad 4.4.4 Relacionar datos y evidencia.

• Diferencia entre datos y evidencia, aislamiento y su contextualización.
• Como relacionar los datos obtenidos con la evidencia.
• Sostenimiento de la evidencia
La evidencia es todo aquello que pueda convertirse en una prueba que constate un hecho
de lo ocurrido, por lo que el perito en Informática Forense debe saber diferenciar entre una
evidencia y un dato.
3.3.4.5 Actividad 4.5 Efectuar el análisis de tiempo de los eventos.

Consiste en considerar fechas y tiempos en los archivos analizados.
3.3.4.5.1 SubActividad 4.5.1 Determinar cuando ocurrieron los eventos en un dispositivo de

cómputo.
Obtener datos de fecha y tiempo de la información comprometida y con base a ello concluir
cuando ocurrió determinado evento.
3.3.4.5.2 SubActividad 4.5.2 Realizar el correspondiente estudio de los metadatos, (en

especial identificar las marcas de tiempo, creación, actualización, acceso, modificación,
etc.).
99
Documentar estos metadatos de los archivos bajo estudio (de interés para la presente
investigación), con el fin de correlacionar los eventos y demostrar con ello la creación,
modificación y último acceso.
Con esta información el perito en informática forense podrá establecer una línea del tiempo.
3.3.4.5.3 SubActividad 4.5.3 Revisar los registros del sistema y aplicaciones.

Lo anterior con el fin de localizar posibles indicios de alguna intrusión y/o por el que se halla
comprometido el sistema.
3.3.4.6 Actividad 4.6 Analizar los datos ocultos (de sistema).
Efectuar un exhaustivo análisis a Archivos de sistema, por ejemplo el archivo SAM en Win
NT/2000/XP.
3.3.4.6.1 SubActividad 4.6.1 Detectar y recuperar datos ocultos.

Esta actividad al igual que la anterior puede proporcionar información importante. Existe en
la red un sin número de aplicaciones gratuitas (muchas de ellas en ambiente Linux), que
permiten realizar análisis forenses informáticos, incluso existen ―Live CD‖ (Disco que
funciona como disco de ―Booteo‖ (Disco que inicializa un equipo)), tales como ―Live CD
Helix3‖ de e-fense , ―Live CD Forense Raptor‖ ó el ―Live CD de Informática Forense DEFT‖.
3.3.4.6.2 SubActividad 4.6.2 Correlacionar los encabezados de archivos a su

correspondiente extensión para identificar alguna discrepancia, esto se logra con editores
hexadecimales, como WinHex.
3.3.4.7 Actividad 4.7 Analizar las aplicaciones instaladas.

Se identifican y analizan aplicaciones y/o los archivos que generan tales aplicaciones
instaladas en el equipo objeto de estudio.
100
3.3.4.7.1 SubActividad 4.7.1 Obtener información relevante relacionada con la

investigación obtenida de los archivos y aplicaciones.
La presente actividad servirá, para la toma de medidas adicionales que deben de adoptarse
en la extracción y análisis de procesos, (por ejemplo un software destino a la grabación de
bandas magnéticas, como las de las tarjetas de crédito).
3.3.4.7.2 SubActividad 4.7.2 Efectuar una revisión de nombres de archivos para determinar
su relevancia.
Tratar de obtener información adicional, basada en el nombre de los archivos bajo estudio.
3.3.4.7.3 SubActividad 4.7.3 Explorar el contenido de los archivos.

Abrir y analizar el contenido de archivos sospechosos o motivos de estudio.
3.3.4.7.4 SubActividad 4.7.4 Determinar el tipo del sistema operativo y/o sistema de
archivos.
De acuerdo al material motivo de estudio y contando con la herramienta adecuada el perito
determinara el sistema de archivos en el que se encuentra éste.
Por ejemplo la mayoría de los equipos de computo con Windows XP se encuentra bajo el
sistema de archivos NTFS (NTFS (NT ―File System‖) es un sistema de archivos de Windows
NT incluido en las versiones de Windows 2000, Windows XP, Windows Server 2003,
Windows Server 2008, Windows Vista y Windows 7), Linux se encuentra en Ext3/Ext4
(―fourth extended filesystem‖ o cuarto sistema de archivos extendido), etc.
101
La importancia de esto radica en que una maquina en NTFS no puede visualizar particiones
de Linux, pero Linux si puede visualizar particiones de Windows.
3.3.4.7.5 SubActividad 4.7.5 Obtener información sobre el Software instalado,

actualizaciones y parches.
Determinar el Sistema Operativo (si utiliza Windows XP, Linux etc.), el software instalado,
actualizaciones de Windows y por supuesto las configuraciones de red.
3.3.4.7.6 SubActividad 4.7.6 Correlacionar los archivos de las aplicaciones instaladas.
Determinar, si los archivos creados por el usuario del equipo de computo motivo de estudio,
corresponden con el software instalado en el mismo.
3.3.4.7.7 SubActividad 4.7.7 Identificar archivos desconocidos (raros dentro de la

instalación del software), para determinar su valor en la información.
Identificar archivos fuera de lo común (extensiones irregulares, ejemplo: archivo.upsss) y

que posiblemente le fue cambiado su nombre de manera intencional con el propósito de
esconder información.
3.3.4.7.8 SubActividad 4.7.8 Evaluar el lugar de almacenamiento por omisión de los

usuarios con lo que respecta a sus aplicaciones y a la estructura de archivos.
Esto para determinar si la información se ha almacenado en el lugar por defecto o en otro

lugar.
102
3.3.4.7.9 SubActividad 4.7.9 Evaluar las configuraciones del perfil de usuario.
El perfil de usuario proporciona información muy importante sobre la configuración del

entorno de trabajo de cada usuario. Define un entorno de escritorio personalizado, en el que
se incluye la configuración individual de la pantalla, así como las conexiones de red, las
impresoras, recursos a los que se tiene acceso (directorios o carpetas compartidas) y otros
a los que no, etc. Cada usuario puede tener un perfil asociado a su nombre de usuario que
se guarda en su equipo de computo, por lo general el administrador de sistema define este
perfil de usuario.
3.3.4.7.10 SubActividad 4.7.10 Buscar patrones de conducta del sospechoso, historial de

Internet, ―cookies‖ etc.
Una cookie es un fragmento de información que se almacena en el disco duro del visitante
de una página web (dirección electrónica que visita el usuario), a través de su navegador, a
petición del servidor de la página. Esta información puede ser luego recuperada por el
servidor en posteriores visitas. En ocasiones también se le llama "huella".
Por lo anterior, las cookies proporcionan importante información, la cual puede tener
relación con los hechos que se investigan, en la figura 3.10 se muestra la obtención de las
cookies con el programa ―WinTaylor 2.1 for Caine‖, para su posterior análisis.
103
Figura 3.10 Salida tipo pantalla, en la que se muestra el análisis al archivo Index.dat, con el
fin de mostrar las cookies almacenadas en éste.
El análisis efectuado en la figura 3.10, fue obtenido como se dijo antes, utilizando
―WinTaylor 2.1 for Caine‖, el cual es un software forense gratuito [http://www.caine-live.net/],
existen varias versiones.
104
3.3.4.8 Actividad 4.8 Analizar datos de la Red de cómputo.
Búsqueda de información relacionada con dispositivos y/o elementos técnicos que

conforman la red de cómputo.
3.3.4.8.1 SubActividad 4.8.1 Identificar los dispositivos de comunicación y de defensa

perimetral.
Tales como: Servidores Web, ―Firewall‖, IDS‘s (Intrusion Detection System, es un programa
usado para detectar accesos no autorizados a un computador o a una red), IPS‘s (Intrusion
Prevention Systems), éstos combinan múltiples funcionalidades, como: Firewall, IDS, y
detección de anomalías de protocolo, antivirus, valoración de vulnerabilidades, filtrado de
contenidos, etc., ―Proxys‖, Filtros de Contenido, Analizadores de Red, Servidores de ―Logs‖,
etc., que están en la Red, con la finalidad de recuperar los ―Logs‖ que se han tomado como
parte de la gestión de red.
A continuación, se presenta la fase V:
105
3.3.5 Fase V. Presentación de Resultados Obtenidos.
FASE I FASE II
Es la fase final y la más delicada e importante la cual será el documento que sustentará una
prueba en un proceso legal.
Es la Fase que tiene como fin la presentación y entrega de los resultados obtenidos de la
investigación del análisis forense informático. La claridad con la que se presente el
resultado de la investigación, marcará la diferencia entre si es aceptada la evidencia o no en
un proceso legal, debiendo evitarse al máximo los tecnicismos en su redacción, esto es el
Dictamen Pericial deberá ser concreto, libre de jerga propia de la disciplina, pedagógico y
sobre manera, consistente con los hechos y resultados obtenidos.
Los especialistas en el análisis forense informático que apoyan las labores en el ciclo de
administración de la evidencia digital no deben contar con altos niveles de ética, sino con
los más altos estándares y niveles de ética, pues en ellos recaen los conceptos sobre los
cuales el juez toma sus decisiones.
106
3.3.5.1 Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la
presente Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el
documento final.
De acuerdo al caso bajo estudio, nivel de complejidad y/o al criterio del perito en informática
forense, la elaboración del documento final (llámesele Dictamen ó Reporte técnico), se
realizará en estricto apego a las actividades que conforman la presente Fase.
3.3.5.1.1 SubActividad 5.1.1 Definir las secciones (estructura) del cuerpo del documento
final.
De manera general deberá contener los apartados correspondientes a: los ―Antecedentes‖,

el ―Planteamiento del Problema‖, la ―Identificación del material objeto de estudio‖
(descripción a detalle del material objeto de estudio), las ―Consideraciones Técnicas‖ si es
que las hay, el desarrollo del ―Estudio técnico‖, ―Conclusiones ó Conclusión‖ a la que se ha
llegado, así como secciones complementarias, como un ―Glosario‖, ―Apéndice‖ y ―Anexos‖.
3.3.5.1.2 SubActividad 5.1.2 Explicar claramente el objetivo del Dictamen Pericial y motivo
por el cual se realizo determinado estudio.
3.3.5.1.3 SubActividad 5.1.3 Incluir en el cuerpo del Dictamen el apartado correspondiente

a los Antecedentes.
El cual consistirá, en una breve narración de los hechos precedentes a la intervención
pericial, tales como la manera en la que se pone del conocimiento los hechos delictivos que
se investigan, quien solicita nuestra intervención pericial, a qué lugar se tendrá que trasladar
el perito en informática forense, quien le pone a la vista el equipo objeto de estudio, persona
que lo recibe, hora de inicio del estudio y cualquier otra circunstancia que se relacione con
los hechos que se investigan, tal como si fue necesario consultar el expediente de la
107
averiguación previa o si se contó con el apoyo de cualquier otra persona a efecto de llevar a
cabo el estudio correspondiente. De igual manera será importante señalar si la autoridad
competente o el titular de la investigación gira alguna instrucción específica no obstante que
se le haya advertido de los riesgos que se corren al ejecutar tal instrucción.
3.3.5.1.4 SubActividad 5.1.4 Estudiar, el apartado correspondiente al ―Planteamiento del

Problema‖.
El cual deberá indicarle, al perito en informática forense, de una manera clara y objetiva el
motivo de su intervención pericial.
3.3.5.1.5 SubActividad 5.1.5 Incluir un apartado con la ―Identificación del material objeto de
estudio‖, (descripción a detalle del material objeto de estudio).
En el cual se especifique por ejemplo el tipo de equipo, marca, modelo, numero de serie y/o
inventario, alguna observación tal como si se encuentra en buen estado ó si se encuentra
funcionando, así como si se encuentra rotulado con alguna leyenda escrita, por ejemplo
esto último es típico en los discos compactos CD/DVD.
3.3.5.1.6 SubActividad 5.1.6 Incluir un apartado para establecer las ―Consideraciones

Técnicas‖, necesarias para llevar a cabo el estudio correspondiente.
3.3.5.1.7 SubActividad 5.1.7 Establecer a detalle el desarrollo del estudio técnico.
Especificar la metodología empleada para el estudio requerido por la autoridad competente,

así como todos y cada uno de los procedimientos realizados para llegar a los resultados
obtenidos.
108
Recordando que todo procedimiento deberá ser repetible y verificable (por otro
investigador). Incluir irregularidades encontradas o cualquier acción que pudiese ser
irregular durante el análisis de la evidencia.
3.3.5.1.8 SubActividad 5.1.8 Definir la conclusión ó conclusiones a la que se ha llegado, de

una manera clara y precisa.
La intervención pericial emite una conclusión que viene formulada sobre concretos datos
arrojados por el estudio técnico, por lo que en esté apartado, se escriben la ó las
conclusiones a las que se ha llegado de una manera clara, corta y objetiva.
Evitar los juicios de valor o afirmaciones no verificables, utilizar palabras simples, no las
rebuscadas, evitarse las redundancias.
Se pueden emplear términos técnicos necesarios, pero siempre de una forma clara y
simple, pensando en quien va a recibir el documento final producto de la presente
metodología.
3.3.5.1.9 SubActividad 5.1.9 Elaboración de Dictamen Pericial basado en la evidencia final

obtenida, para que ésta sea presentada.
3.3.5.1.10 SubActividad 5.1.10 Plasmar la rúbrica del Autor en el Dictamen Pericial.
3.3.5.1.11 SubActividad 5.1.11 Incluir secciones complementarias, tales como la

realización de un glosario, apéndice y anexos.
109
De igual manera no olvidar incluir en el cuerpo del Dictamen, todas las personas que de
alguna manera intervinieron en el caso bajo estudio (por ejemplo durante la realización de
un cateo, interviene una gran variedad de personal tales como: peritos, policía judicial y
ministerio público, entre otros), incluyendo sus cargos y las responsabilidades durante toda
la investigación.
3.3.5.2 Actividad 5.2 Analizar y considerar todas las subactividades, que conforman la
presente actividad, con el fin de elaborar el documento final.
3.3.5.2.1 SubActividad 5.2.1 Explicar los resultados del análisis, donde se detallen con
claridad los hallazgos.
Es indispensable que los hallazgos sobre la evidencia y/o resultados del análisis sean
vertidos dentro del apartado correspondiente al estudio técnico en donde se desarrollarán a
detalle todos y cada uno de los procedimientos efectuados para su obtención.
3.3.5.2.2 SubActividad 5.2.2 Realizar una bitácora de uso y aplicación de los

procedimientos técnicos utilizados.
Esta bitácora podrá ser manejada como un anexo, en el cual se muestre a detalle los
procedimientos y/o métodos aplicados a los elementos objeto de estudio.
3.3.5.2.3 SubActividad 5.2.3 Cumplir con exhaustivo cuidado con los procedimientos
previstos para el mantenimiento de la cadena de custodia.
Es recomendable que todo elemento objeto de estudio que se reciba o se entregue sea
acompañado con un oficio en el que se especifiquen los elementos que se reciben y/o se
entregan así como también se obtenga la firma de la persona que reciba dicho oficio,
110
acompañado de los elementos objeto de estudio, no está por demás decir que en dicho
oficio se detallaran las características de los elementos objeto de estudio.
3.3.5.2.4 SubActividad 5.2.4 Contar con todos los oficios recibidos y/o utilizados durante
toda la investigación.
Es posible que en el desarrollo de la investigación se extravié algún documento y/o

elemento objeto de estudio por lo que será de suma importancia el contar con la
documentación necesaria para deslindarse de cualquier responsabilidad.
3.3.5.2.5 SubActividad 5.2.5 Describir las herramientas enfocadas a la informática forense,

utilizadas durante el análisis.
Se deberá justificar y explicar el porqué del uso de alguna herramienta, sea ésta informática
(software) o electrónica así como su función dentro de la investigación.
SubActividad 5.2.6 Citar a las pruebas, de una manera concreta con el fin de hacer
entendible la conclusión.
Esto se hará, sin dar excesivos detalles acerca de cómo se obtuvieron estas, este tipo de
información es recomendable citarla en el apartado del estudio técnico.
3.3.5.2.7 SubActividad 5.2.7 Proporcionar una lista completa de todos los documentos
justificativos o de apoyo.
Lo anterior, se justifica cuando se está trabajando un caso (investigando), demasiado

complejo en cuanto a indagatorias (expediente de la averiguación previa), por ejemplo la
información que obra en actuaciones de la averiguación previa.
111
Cabe señalar que en muchas ocasiones habrá averiguaciones previas que estén
relacionadas con otras y cada una de ellas podrá estar constituida por varios volúmenes ó
tomos, por lo que cobra relevancia el tener documentado a que foja se toma alguna
información ó elemento de estudio, esto último por ejemplo cuando a determinada foja se
hace referencia a un portal de Internet ó dirección electrónica.
3.3.5.2.8 SubActividad 5.2.8 Incluir antes de la firma del autor o autores, una nota
aclaratoria en la que se especifique que se entrega el material objeto de estudio de la
misma forma en la que se recibió.
Esta nota aclaratoria es de suma importancia ya que muchas veces se entrega tanto el
Dictamen Pericial como el equipo bajo estudio al correspondiente resguardante y este último
no toma las medidas cautelares necesarias, teniendo como resultado el daño del equipo o
la pérdida del mismo, por lo que ante la ausencia de esta nota aclaratoria el único
responsable sería el perito en informática forense por no prever tal situación.
SubActividad 5.2.9 Obtener siempre un acuse de recibido del Dictamen Pericial, producto
de la aplicación de la presente metodología.
Lo anterior, a efecto de poder corroborar la entrega y recepción del Documento Final
producto de esta metodología, por lo general firmado por la autoridad competente y titular
de la investigación, especificando en el mismo que se recibe el material objeto de estudio,
fecha, hora y nombre de quien lo recibe.
Es importante aclarar que la persona que reciba tal documento, deberá indicar que lo que
está recibiendo es un Dictamen ó un Informe.
3.3.5.2.10 SubActividad 5.2.10 Realizar cualquier observación, dentro del documento final
antes de estampar la rúbrica (con el fin, de evitar que se invalide tal observación), se
recomienda firmar al margen todas y cada una de las fojas que constituyan el Documento
Final.
112
Siempre que se tenga algún tipo de observación ó detalle respecto a la investigación, tal
como: la entrega de algún anexo (llámesele disco compacto y/o tomas fotográficas, etc.),
alguna aclaración respecto a la entrega del Dictamen (retardo y/o evento circunstancial).
En lo que se refiere a la redacción del Dictamen evitar dejar espacios en blanco (en
particular grandes) y firmar al margen todas y cada una de la fojas que constituyan el
Dictamen, producto de la presente metodología.
113
En el Capítulo 3, se desarrolló la Metodología Propuesta, la cual tiene como base el tener

un enfoque Sistémico, en el presente capítulo se expusieron las fases y métodos que la
integran, se describió el proceso forense informático para lo cual se mostró el análisis del
modelo de informática forense, así como se mostraron gráficamente las fases que integran
la metodología propuesta.
En el Capítulo 3, se generó la estrategia de creación de la metodología propuesta. Lo

anterior le permitirá a un investigador forense informático el poder contar con una
metodología válida y confiable para la correcta obtención de evidencia digital.
Ahora en el siguiente Capítulo, se tendrá un caso de estudio, con la finalidad de poner en

práctica la Metodología Propuesta.
114
Capítulo 4.-
Aplicación de la Metodología Propuesta
en un Caso de Estudio:
Localización de un archivo con
información específica.
115
Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de
Estudio:
Localización de un archivo con información específica.
Ubicación de Información cuestionable.
Para la aplicación de la Metodología Propuesta, está se aplicará en un caso hipotético en el

que se le plantea al perito en informática forense: ―Localizar un archivo de texto con
Información Bancaria‖, relacionado con un fraude Bancario, teniendo como objetivo principal
el identificar cualquier información relacionada con tarjetas bancarias. Para tal fin, se
requiere conocer el elemento objeto de estudio, el cual, en este caso en particular, se trata
de una Computadora Personal, puesto a disposición de la autoridad competente y
relacionado con un fraude bancario.
Recordando que tal y como se estableció en el Capítulo anterior, dependerá del caso
de estudio; así como del criterio del perito en informática forense, el aplicar ó no
todas y cada una de las actividades y subfases que conforman la presente
metodología propuesta.
Entonces, para apoyo a la presentación de la metodología propuesta se empleará la

siguiente iconografía:
Para un recordatorio breve de la Actividad o Fase, es decir el ¿Qué hacer básico?
Resultados obtenidos:
Este otro icono, servirá para presentar los resultados obtenidos de dicha Actividad
en su aplicación en el caso práctico, en algunos casos también será usado para
identificación de la forma en que fue aplicada la Actividad o Fase.
116
Conociendo lo anterior, se procederá a la aplicación de las Fases de la Metodología

propuesta:
4.1 . Fase I. Planteamiento del Problema.
FASE II
FASE I FASE III FASE IV FASE V
¿Qué hacer básico (recordatorio)?
Durante esta Fase se le presenta al forense informático de una manera clara y precisa el
objeto de la investigación, siendo por lo tanto la Fase que determinara la viabilidad del
Análisis, ya que como se trató en el capitulo anterior, de acuerdo a la forma en que se
plantea el problema se estará en posibilidades de intervenir en dicho caso a investigar o no.
Para tal fin, se sugiere llevar a cabo las siguientes actividades:
Actividad 1.1 Definir adecuadamente el planteamiento del problema.
Hace referencia a él objeto de la investigación, es decir, el fin que tendrá la intervención

pericial.
117
Forma de Aplicación de la Actividad.
Para la presente actividad se recomienda se le haga una toma fotográfica al oficio, haciendo
énfasis en la parte donde se realiza la petición del tipo de análisis o bien se proceda como a
continuación:
Para el presente caso hipotético se tiene el siguiente Planteamiento del Problema: A la letra
dice: ―…localizar archivos de texto con Información Bancaria…‖
Una vez definido el planteamiento del problema, ahora se tiene que:
Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.
Se evalúa la disponibilidad de los recursos con los que se cuenta, sean estos Temporales,
Humanos, Materiales u Organizacionales.
En el presente caso práctico se hizo uso de una herramienta para desmontar el disco duro
de la computadora objeto de estudio, un bloqueador de escritura para el disco duro,
software forense para obtener la imagen del disco duro, así como su ―Hash‖ (En informática:
Hash, se refiere a una función o método para generar claves o llaves que representen de
manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato),
un disco duro limpio o esterilizado para respaldar la correspondiente imagen y un equipo de
cómputo para la realización de su respectivo análisis, para el presente caso con la
participación de un sólo especialista será suficiente.
118
Ahora se continúa con la aplicación de la:
119
4.2 . Aplicación de la Fase II. Identificación detallada del material objeto

de estudio. FASE I FASE II
Con el fin de llevar a cabo una adecuada intervención pericial en informática forense: es
necesario, conocer previamente el material objeto de estudio.
Para tal, fin se sugiere llevar a cabo las siguientes actividades:
Actividad 2.1 Aseguramiento del material objeto de estudio y consideraciones

generales.
Se tiene que hacer un resguardo adecuado del material motivo de estudio.
En el presente caso se da por hecho que la autoridad competente ya tiene asegurado el

equipo a analizar
120
Para el presente caso de estudio el CPU, cuestionado y bajo análisis tiene las siguientes
características:
No. Descripción Marca Modelo No. Serie Disco Asociado
01 CPU (gabinete Marca ####-L# L# ##LLL####LL 1.- Marca de 320 GB
minitorre), color negro, S/N: #LL#L#L#

con un disco duro.
Figura 4.1 Identificación del material objeto de estudio.
Es importante tomar en cuenta que un CPU almacena su información a través de sus discos
duros, por lo que será necesario identificar dicho elemento como se ejemplifica en la
siguiente figura:
121
Figura 4.2 Identificación del disco duro asociado al material objeto de estudio.
SubActividad 2.1.1 Establecer el perímetro de protección del equipo o equipos

afectados.
Evitar que la evidencia original sea alterada por las personas que intervienen en el lugar de
los hechos.
122
Derivado de que para el presente caso materia de estudio, se da por hecho que el equipo
se encuentra ya a disposición de la autoridad competente (en otra área distinta al lugar de
los hechos), la presente actividad no aplica en el presente caso motivo de estudio.
SubActividad 2.1.2 Tener la capacidad para poder determinar lo que ha sucedido y

reconstruir los hechos.
Analizar adecuadamente el lugar de los hechos y los indicios recogidos en el mismo.
Tomando en cuenta que para el presente caso materia de estudio, se da por hecho que el
equipo se encuentra ya a disposición de la autoridad competente (en otra área distinta al
lugar de los hechos), la presente actividad no aplica en el presente caso motivo de estudio.
SubActividad 2.1.3 Preservar toda impresión dactilar abandonada ó ubicada (huella

dactilar latente).
123
Con el fin de facilitar la identificación del supuesto sospechoso o sospechosos se deberá

preservar toda impresión dactilar.
Corroborar con el titular de la investigación que se haya preservado toda impresión dactilar,
no obstante se tendrá que tomar cualquier parte del equipo objeto de estudio con el debido
cuidado y haciendo uso de guantes de látex con el fin de evitar contaminar los equipos o
dispositivos a ser investigados.
SubActividad 2.1.4 Emplear brazaletes antiestáticos.
Se recomienda el uso de brazaletes antiestáticos, para evitar alterar la evidencia por cargas
electrostáticas.
Para el presente caso de estudio se hizo uso de brazaletes antiestáticos, con el fin de evitar
alterar la evidencia por cargas electrostáticas por la manipulación de los equipos o
dispositivos. Así mismo, se contó con bolsas antiestáticas para el adecuado y seguro
embalaje de la evidencia.
124
SubActividad 2.1.5 Determinar la ocurrencia de cualquier incidente y de su impacto.
En este punto se determinará la ocurrencia de cualquier otro dato y/o información

relacionada con los hechos que se investigan.
Para el presente punto se determinará la ocurrencia de cualquier otro incidente y/o detalle
que se observe del material objeto de estudio, por ejemplo: si el equipo muestra evidencia
de que haya sido abierto (marcas de herramienta), si derivado de la inspección del interior
del gabinete del CPU se observa algo inusual (por ejemplo, ausencia de polvo por el uso
normal en algunas áreas); cualquier anomalía y/o detalle inusual observable se le informará
por escrito al titular de la investigación.
Para el presente caso se hará hincapié en que el equipo tiene marcas propias de uso.
SubActividad 2.1.6 Considerar todos los componentes que pueden estar relacionados
de alguna forma con la computadora y/o elemento cuestionado.
Considerar todos los elementos relacionados con la especialidad de Informática con la

finalidad de aportar mayor información al titular de la investigación.
125
Para el presente caso motivo de estudio se tomaron, como elementos de análisis el

gabinete (chasis de la computadora) y su disco duro.
SubActividad 2.1.7 Conocer las debilidades, fortalezas y otros conocimientos

relacionados a las fuentes, incluyendo factores humanos y electrónicos.
Se hará un recuento de ventajas, desventajas relacionadas al caso de estudio y/o sobre

cualquier imprevisto.
Se le dio parte al titular de la investigación sobre la falta del cable de datos para conectar el
disco duro (en el presente caso se trata de un disco SATA), así como se informo el tiempo
estimado para el análisis del presente disco duro objeto de estudio.
SubActividad 2.1.8 Estar consciente de las limitaciones de sus capacidades

científicas, técnicas o temporales ante el caso expuesto.
Evitar que la evidencia se altere por el mal manejo de está, así como el de no tenerlos en
tiempo y forma.
126
En el presente caso motivo de estudio, la aplicación de esta actividad no aplica, ya que se

considera que se cuenta con todos los elementos necesarios para desahogar la solicitud de
la autoridad competente.
SubActividad 2.1.9 Realizar una evaluación de los recursos (en el ámbito de la

información y acceso a la misma, por ejemplo la determinación del origen de un
correo electrónico estará supeditado a la información proporcionada por el proveedor
de servicios de Internet), alcance y objetivos necesarios para realizar la investigación.
Determinar si se cuenta con los elementos mínimos necesarios (en cuanto a información y
acceso a la misma), para llevar a cabo la investigación.
Para el presente caso bajo estudio, la aplicación de esta actividad no aplica, ya que se
considera que se cuenta con el elemento indispensable para darle el debido cumplimiento a
lo requerido por la autoridad competente, que en el presente caso es el disco duro de la
computadora cuestionada.
127
SubActividad 2.1.10 Contar con un laboratorio de informática forense que permita

realizar el proceso de obtención y análisis.
Contar con la herramienta técnica necesaria y que asegure la preservación de la integridad

de la evidencia digital.
Para el presente caso, objeto de análisis, la aplicación de esta actividad no aplica, ya que se
considera que se cuenta con los elementos técnicos necesarios para dar el debido
cumplimiento a lo requerido por la autoridad competente.
SubActividad 2.1.11 Obtener por escrito la autorización para iniciar la intervención

Pericial en Informática Forense, (sea esta por parte de la autoridad competente o del
dueño del equipo cuestionado,Investigación de equipos). Teniéndose presente, el
principio de secrecia dentro de toda la investigación.
Poseer por escrito la autorización para intervenir el equipo, objeto de estudio.
128
Se obtuvo formalmente y por escrito la autorización para iniciar la intervención Pericial en

Informática Forense sobre el equipo objeto de estudio.
SubActividad 2.1.12 Documentar todas las acciones y antecedentes que preceden la

investigación. Los acontecimientos y decisiones que se adoptaron durante el
incidente y su respuesta al incidente.
Se deberá anotar la fecha, la hora exacta en que se recibió la llamada solicitando la

intervención pericial en informática, medio por el cual se recibió la llamada. Al llegar al lugar
de los hechos se deberá anotar: la hora exacta de llegada, la dirección correcta, nombre de
la autoridad que encabeza la investigación y la persona que le pone a la vista el equipo
cuestionado.
En el presente problema planteado y objeto de esté estudio, la aplicación de esta actividad

no aplica.
129
SubActividad 2.1.13 Organizar y definir el equipo de Investigación.
Se deberá acreditar legalmente la intervención pericial por parte de la autoridad

competente.
En el presente caso objeto de estudio, la aplicación de esta actividad no aplica, toda vez
que se da por hecho que se cuenta con la documentación que habilita legalmente la
intervención del perito.
SubActividad 2.1.14 Realizar una Investigación preliminar.
Se documentan todos los Antecedentes, que el perito crea conveniente citar.
Para el presente caso motivo de estudio, la aplicación de esta actividad no aplica.
130
SubActividad 2.1.15 Identificar el Impacto y la sensibilidad de la información (de

asuntos y/o de clientes, financieros, comerciales, de Investigación y desarrollo, etc.)
Identificar la relevancia que guarda el manejar cierto tipo de información (cuentas bancarias,
de gobierno etc.).
Se identificó el Impacto y la sensibilidad de la presente información que para el presente

caso planteado se podría tratar por ejemplo de información correspondiente al contenido de
las bandas magnéticas de tarjetas plásticas (bancarias), la cual se deberá manejar de
manera sigilosa y con el debido cuidado.
SubActividad 2.1.16 Analizar el Impacto de los negocios a través de la investigación

del Incidente.
Determinar si el incidente le impide a una empresa realizar sus actividades de manera

normal y éste no le provoca algún tipo de perdida.
131
Para el presente, planteamiento del problema que se tiene por objeto de estudio, la
aplicación de esta actividad no aplica.
SubActividad 2.1.17 Identificar la topología de red y tipología de red, equipos

afectados (servidores, estaciones de trabajo, Sistemas Operativos, Router, Switches,
etc.)
Se identifican los elementos más importantes dentro de una red de computadoras y que
pudieran aportar alguna información a la investigación.
En el presente caso motivo de estudio, ésta actividad no aplica.
SubActividad 2.1.18 Identificar los dispositivos de almacenamiento o elementos

informáticos.
132
Identificar los elementos que puedan aportar información relacionada a los hechos que se
investigan y que motiva el caso objeto de estudio.
Para el presente caso de estudio se procedió a fijar fotográficamente la computadora objeto

de estudio, así como a fijar fotográficamente su disco duro, resaltando datos como su
número de serie y capacidad.
Figura 4.3 Fijación Fotográfica del material objeto de estudio, teniendo mayor relevancia
para el presente caso el disco duro asociado a la computadora cuestionada, toda vez que
es el elemento en donde se almacena toda la información procesada.
133
SubActividad 2.1.19 Ejecutar adecuadamente los procedimiento sobre sistemas vivos

(análisis en vivo), para no perder la continuidad en producción de los equipos y su
uso en las instalaciones, evitando la perdida de los datos volátiles.
Se procederá de acuerdo al criterio del forense informático acorde a las circunstancias y de

acuerdo a lo requerido por la autoridad competente.
Para el presente caso motivo de estudio, la aplicación de esta actividad se ve reflejada en la

metodología desarrollada para resolver el Problema Planteado.
SubActividad 2.1.20 Identificar los posibles implicados o funcionarios que tengan

relación con la investigación ó que pudieran aportar mayor información.
Con el fin de obtener mayor información relacionada con los hechos que se investigan,
hacer uso de entrevistas, ya sea con usuarios o administradores responsables de los
sistemas.
134
Para dar respuesta a lo requerido, en el presente Planteamiento de Problema propuesto, la

aplicación de esta actividad no aplica, ya que el darle respuesta a esta interrogante u
obtener está información no forma parte del Planteamiento del Problema para el presente
caso motivo de estudio y obtenerla significaría un exceso en las funciones del perito en
informática forense, pudiendo derivar en alguna sanción, incluso de carácter penal.
SubActividad 2.1.21 Realizar una recuperación de los “logs” (bitácora de

movimientos), de los equipos de comunicación y dispositivos de red, involucrados en
la topología de la red.
Llevar a cabo la recuperación de ―logs‖ de acuerdo al caso bajo estudio.
Para la presente investigación objeto de estudio, la aplicación de esta actividad no aplica, ya

que el darle respuesta a esta interrogante u obtener está información no forma parte del
Planteamiento del Problema para el presente caso motivo de estudio.
SubActividad 2.1.22 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quién es el

primero que tiene la evidencia?.
135

Determinar la cadena de custodia.
Para el presente caso motivo de estudio, la aplicación de esta actividad se encuentra

implícita en el desarrollo del documento final y consiste en llevar a cabo una adecuada
manipulación de la evidencia, así como el de llevar un claro registro de quien y en que
momento tuvo su resguardo.
SubActividad 2.1.23 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quien

examino la evidencia? (Si anterior a nuestra intervención, intervino alguien mas, por
ejemplo la policía cibernética).
Documentar cualquier intervención (análisis) con el material objeto de estudio.
La aplicación de esta actividad se encuentra implícita en el desarrollo del documento final.
136
SubActividad 2.1.24 Responder a las preguntas: ¿Quien va a tener custodia de la

evidencia? y ¿Por cuánto tiempo la tendrá?
Documentarlo detalladamente.
Para el presente caso motivo de estudio, la aplicación de esta actividad se encuentra

implícita en el desarrollo del documento final.
SubActividad 2.1.25 Responder a las preguntas: ¿Quién? y ¿Cómo se embaló y/o

almacenó la evidencia?
Documentar este punto detalladamente.
Para el presente objeto de análisis, el empleo de esta actividad no aplica, toda vez que se
dio por hecho que el equipo asegurado se recibió para su estudio directamente de la
137
SubActividad 2.1.26 Responder a las preguntas: ¿Cuándo se realiza el cambio de

custodia? y ¿Cómo se realiza la transferencia?
Documentar turno, personal y área jurisdiccional (por ejemplo Delegación ó el nombre del
Ministerio Público).
Para el presente caso motivo de estudio, el uso de esta actividad se muestra en el

desarrollo del documento final (Dictamen Pericial).
Actividad 2.2 Efectuar la evaluación del caso.
Se valoraran (con base al contenido de archivos ubicados), los elementos de mayor

relevancia localizados en el material objeto de estudio y que tengan relación con la de la
investigación y/o hechos que se investigan.
138
Para el presente caso objeto de estudio, la búsqueda de información se centro en la

búsqueda de archivos de tipo texto, sea este del tipo plano (por ejemplo archivos con
extensión .txt) ó enriquecido (por ejemplo archivos con extensión .doc).
SubActividad 2.2.1 Situar el status del caso, que el perito en informática forense
investigará.
Determinar qué sentido tomará la investigación, definiéndose si es simplemente la violación

de una política, normas, lineamientos o bien se trate de un delito.
Para el presente asunto bajo estudio, la aplicación de esta actividad no aplica, ya que el
Planteamiento del Problema es puntual y objetivo: ―Buscar información Bancaria‖.
SubActividad 2.2.2 Conocer detalles sobre el caso.

Conocer la mayor cantidad de detalles antes de llegar a la escena del delito donde se
presento el incidente, de ser posible realizar una lectura del expediente de la averiguación
previa.
139
En la presente investigación, la utilización de esta actividad no aplica, ya que para darle

respuesta al presente Planteamiento del Problema, no se requiere mayor información (ya
que en algunas ocasiones será necesario leer el expediente de la averiguación previa), que
avocarse a la búsqueda de información requerida por la autoridad competente.
SubActividad 2.2.3 Definir el tipo de evidencia a manejar.
Tener bien claro el tipo de evidencia que se va a manejar, por ejemplo hacer la diferencia
entre un chip y una micro memoria para equipo fotográfico.
En la presente investigación, esta actividad consistió en definir el tipo de evidencia a

localizar y/o a manipular, así como a analizar, siendo que para el presente caso, el estudio
del disco duro, derivo en localizar dos archivos de texto con información bancaria.
SubActividad 2.2.4 Evaluar de manera inicial respecto al caso.
Recabar información con las personas relacionadas con el caso para posteriormente
documentar las respuestas recabadas y relacionarlas con la evidencia obtenida.
140
Para el presente caso se le solicitó al personal bancario sobre las características de la

información que podría venir almacenada en la computadora objeto de estudio (series de
números con determinadas características: los cuales, probablemente correspondan a
tarjetas bancarias ó cuentas bancarias beneficiarias del fraude), que para el presente caso
se buscaron las palabras claves ―Track1:‖ y ―Track2:‖, así como búsqueda de cadena de
caracteres numéricos de 16 dígitos.
SubActividad 2.2.5 Rastrear fuentes de información en la estructura organizacional.

• Perfiles de usuario.
• Investigación en progreso de un determinado lugar o un análisis nuevo.
Verificar los lineamientos de las políticas de uso de equipos, de igual manera considerar los
manuales operativos institucionales con el fin de obtener mayor información.
Para la presente investigación, la aplicación de esta actividad no aplica, ya que no forma

parte del Planteamiento del Problema.
SubActividad 2.2.6 Ubicar, ¿Cuales son las fuentes de información?
141
Localización lógica o física de la evidencia digital, que tenga que ver con los hechos que se
investigan.
En este punto se ha identificado al disco duro asociado a la computadora objeto de estudio

como un elemento imprescindible en el presente análisis.
Razón por la cual se determina realizar una búsqueda de información relacionada con
tarjetas bancarias a través de la siguiente acción:
1) Búsqueda en el disco duro de cualquier información relacionada con tarjetas

bancarias.
Es importante señalar que para realizar el análisis del disco, se utilizó un bloqueador
o protector contra escritura (Figura 4.4), de tal forma que la información del disco
duro no fue alterada durante el análisis, preservándose de esta forma la integridad de
la evidencia.
Figura 4.4 Una vez que se tuvo identificado plenamente al elemento base (fuente de
información), para realizar su análisis correspondiente, se procedió a colocarle un
bloqueador de escritura.
142
En la figura anterior se observa la conexión del bloqueador de escritura, a efecto de llevar a

cabo su exploración sin alterar la información contenida en este soporte magnético (disco
duro).
SubActividad 2.2.7 Identificar las fuentes de información, tanto de personas, como de

aquellas que se encuentran almacenadas de manera lógica.
Delimitar el área de búsqueda, especificada por el Planteamiento del Problema, planteado

por la autoridad competente.
Se identificó al personal de las instituciones bancarias idóneas, para proveer de información

que pudiera ser útil para la investigación.
SubActividad 2.2.8 Determinar el diseño preliminar o enfoque del caso.
Se prepara un resumen general para hacer la investigación de manera acotada, (en

condiciones de cierta premura podría servir como un avance de Dictamen Pericial (un
Dictamen con muy poco tiempo a disposición del investigador)).
143
Para el caso particular bajo estudio, no aplica la presente actividad, por el hecho de no ser
un caso urgente, así como considerar que el volumen de información manejada como
evidencia es poca (dos archivos de texto).
SubActividad 2.2.9 Fijar el lugar de los hechos con tomas fotográficas y grabaciones
de diferentes ángulos en el área del lugar de los hechos antes de la recolección de la
evidencia.
Realizar tomas fotográficas y/o grabaciones del lugar de los hechos ó escena del delito.
Derivado que para el presenta caso motivo de estudio se da por hecho que el material para
análisis es puesto a la vista por la autoridad competente y que esté (material ó equipo
cuestionado), ya fue asegurado (sustraído) de la escena del delito y por ende ya fue fijado el
lugar de los hechos, razón por la cual se aplica la presente actividad de manera parcial, es
decir para el presente proyecto se fijo el material de estudio únicamente.
SubActividad 2.2.10 Fijar fotográficamente los periféricos (teclado, mouse, impresora,

scaner etc.), que se encuentran en el lugar de los hechos.
144
Se fijan los periféricos en el lugar de los hechos o lugar de la investigación.
Para el presente caso motivo de estudio, el empleo de esta actividad no aplica, ya que el
material objeto de estudio, fue recibido a través de la autoridad competente y para el
presente caso se consideró que se recibió únicamente el gabinete de la computadora (sin
cables, monitor, teclado etc.).
SubActividad 2.2.11 Fijar fotográficamente las conexiones físicas del equipo motivo
de estudio.
Realizar tomas fotográficas del arreglo de las conexiones del equipo ó equipos
cuestionados.
Para darle respuesta al presente problema planteado, el uso de esta actividad no aplica, ya
que para el caso bajo estudio no se consideró ir al lugar de los hechos ó lugar donde se
aseguro el equipo de cómputo, (el gabinete objeto de estudio, lo presento la autoridad
competente).
SubActividad 2.2.12 Documentar la información observable.
145
Debe registrarse toda la información útil observable y que puede en un momento dado ser
necesaria, en el desarrollo de la investigación.
Se procede a documentar datos importantes como la unidad con que fue identificado por el
equipo al que se conecto, etiqueta del volumen, el número de serie lógico del volumen
(disco duro), así como el sistema de archivos en el que se encuentra la información
almacenada en el disco duro objeto de estudio, con el propósito de dejar en claro el escrito
final, resultante del estudio realizado.
Figura 4.5 Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖) con la que fue detectado
el disco duro, asociado al material objeto de estudio.
146
Figura 4.6 Salida tipo pantalla en la que se ilustra el número de serie lógico del volumen
(―#L##-###L‖).
SubActividad 2.2.13 Identificar si el equipo se encuentra encendido o apagado.
Corroborar el estado de encendido ó apagado de un equipo, (en situaciones en donde se

acude al lugar de los hechos).
En el caso bajo análisis, el empleo de esta actividad no aplica, ya que se consideró que el
equipo se recibió apagado.
SubActividad 2.2.14 Reconocer el sistema operativo (sistema de archivos) del

dispositivo del cual se obtendrá la información.
147
Identificar el sistema de archivos en el que se va a trabajar.
Para el presente caso motivo de estudio, esta actividad no aplica, toda vez que no forma parte del
SubActividad 2.2.15 Documentar la fecha y hora del sistema, para demostrar la hora
en la que se dio inicio a la investigación.
Documentar fecha y hora del equipo cuestionado (bajo estudio).
Para el presente caso motivo de estudio, esta actividad no aplica, ya que el equipo se
recibió apagado.
SubActividad 2.2.16 Interrumpir las conexiones de la red de computo.
Desconectar los equipos de la red.
148
Para el presente caso motivo de estudio, la actividad no se aplica, ya que el equipo de

cómputo, se recibió para su estudio apagado y de manera individual.
SubActividad 2.2.17 Realizar movimientos con el Mouse (ratón) de forma periódica.
Cuando se tiene a la vista, en la escena del delito una computadora (y se va a realizar un

análisis en vivo), es recomendable realizar movimientos con el Mouse para evitar activar el
protector de pantalla el cual en ocasiones viene acompañado de contraseña.
Para el presente caso motivo de estudio, la actividad no se aplica, debido a que el equipo
de cómputo se recibió apagado.
SubActividad 2.2.18 Preparar un diseño detallado.
• Ajuste a nivel detallado de las necesidades actuales.

• Consideración de la preparación del tiempo estimado, y los recursos requeridos
para completar cada caso.
Estimación del tiempo necesario para realizar un análisis completo.
149
Para el presente caso motivo de estudio, la actividad no se aplica, ya que el volumen de

información que se maneja, en lo que hace al material objeto de estudio (un solo disco
duro), así como evidencia digital localizada, se considera manejable.
SubActividad 2.2.19 Determinación de recursos requeridos para la investigación con

respecto al hardware, software y herramientas de informática forense.
Ver las necesidades que enfrenta el investigador, a efecto de poder desahogar en tiempo y
forma el Problema Planteado.
Para el presente caso motivo de estudio, el empleo de esta actividad no aplica, ya que para
el presente caso motivo de estudio, ya se cuentan con los elementos necesarios para darle
respuesta.
SubActividad 2.2.20 Marco legal relacionado al incidente

• Detalles generales a nivel internacional
• Detalles generales del fuero federal
• Detalles generales del fuero común
Tener presente las implicaciones legales que tiene cualquier tipo de intervención pericial.
150
Para el presente caso motivo de estudio, esta actividad no se aplica, ya que en la presente
investigación se tiene el supuesto de que la autoridad competente es quien habilita ó hace
legal la presente intervención pericial. La presente actividad será útil, cuando se acude a la
escena del delito como por ejemplo en un cateo, en un lugar donde se falsifiquen
documentos públicos y/o privados.
SubActividad 2.2.21 Enumerar los pasos a ser realizados durante la investigación,

previa información obtenida.
Una vez asegurado el lugar de los hechos y obtenida la información relacionada al

incidente, se prepara el procedimiento a seguir para la obtención de información.
Para el presente caso motivo de estudio, esta actividad no se aplica, ya que por la falta de
complejidad del presente caso, se considero innecesario.
SubActividad 2.2.22 Corroborar diseño de investigación.
Verificar que los pasos decididos son correctos, acordes y justificados con la situación del
incidente.
151
En la presente investigación, esta actividad no se aplica, ya que no se considera necesario

por ser relativamente simple. La presente actividad será útil en asuntos complejos, sea por
el volumen de información y/o por la especialización que requieran tales casos.
SubActividad 2.2.23 Identificar el riesgo implicado.
Documentar los problemas que se espera encontrar o que obliga a que puedan ocurrir, se
podrá incluir en el correspondiente dictamen un apartado de consideraciones técnicas.
Para el presente caso motivo de estudio, esta actividad no se emplea, ya que la presente
intervención pericial se efectuó en estricto apego a la legalidad (recordando que caso bajo
estudio es hipotético), y para el caso no se consideran mayores complicaciones.
Continuando con el presente estudio, se desarrolla la Fase III:
152
4.3 Aplicación de la Fase III. Adquisición de evidencia.
FASE I FASE II
Se obtiene la evidencia sin alterarla o dañarla, se autentica que la información de la

evidencia sea igual a la original.
Para tal, fin se sugiere llevar a cabo las siguientes actividades:
Actividad 3.1 Efectuar consideraciones Previas.
Se tendrá que tener especial cuidado al realizar una intervención pericial y obtener
información de un medio electrónico así como el de no alterar los metadatos de la
información almacenada (conservar intacta la información digital), es de recalcar que
siempre se deberán tener presentes las implicaciones legales al intervenir y obtener
información de un medio electrónico.
De no contar con el equipo necesario informarlo a la autoridad competente y suspender por

el momento el estudio requerido.
153
Por lo que se refiere al presente caso objeto de estudio, la aplicación de esta actividad se ve
reflejada en el hecho de que para efectos del mismo, se da por hecho que un representante
de la autoridad competente dio fe del análisis efectuado (es decir estuvo presente), de igual
forma se da por hecho que se cuenta con los oficios que habilitan y permiten el presente
estudio.
SubActividad 3.1.1 Estudiar de la mejor manera posible, las condiciones que se

presentan previas a la adquisición de la evidencia.
• Implicaciones legales de la adquisición de datos, (metodología aplicada en la
obtención de información, para su debida legalidad y autenticidad).
• Documentar la cadena de custodia.
Se debe de garantizar la individualización, seguridad y preservación de los elementos

materiales y evidencias (en el caso particular evidencia digital), recolectados de acuerdo a
su naturaleza o incorporados en toda investigación, destinados a garantizar su autenticidad
para los efectos del proceso.
Para el caso particular propuesto, objeto de análisis, la aplicación de esta actividad se ve

reflejada en los puntos en los que se hace referencia a la identificación del material objeto
de estudio, la metodología aplicada, así como las herramientas forenses aplicadas (software
y hardware) con el fin de darle respuesta al Planteamiento del Problema.
154
SubActividad 3.1.2 Requisitar por escrito la autorización para realizar el análisis forense en
informática.
Obtener la autorización por escrito para la intervención pericial, sea ésta por parte de la
autoridad competente (por ejemplo: a través del Agente del Ministerio Público).
A efectos del presente caso motivo de estudio, la aplicación de esta actividad se da por
hecho, esto debido a las consideraciones que se han venido tomando en el presente trabajo
tales como, que el equipo a ser analizado fue asegurado por una autoridad y esta a su vez
la entrego para su análisis al perito en informática forense.
SubActividad 3.1.3 Documentar la configuración y características del hardware del

sistema.
Lograr la plena identificación del material objeto de estudio, evitando con ésto que se dude
de la autenticidad de un equipo.
En el caso particular del presente caso motivo de estudio, la aplicación de esta actividad se
ve implícita en el desarrollo del estudio técnico que se le efectúa al material objeto de
estudio, ya que en el mismo se documento las características técnicas de la unidad de disco
155
duro cuando este fue montado a otra computadora (en el ―argot‖, esto se refiere a que el
disco se conecto a otra computadora).
SubActividad 3.1.4 Plan de adquisición de la evidencia digital.
Metodología aplicada, con la que se llevará a cabo la adquisición de los datos, identificando
que es lo más conveniente de acuerdo a las características del incidente ó material objeto
de estudio.
La metodología aplicada al presente caso objeto de estudio, fue la siguiente:

1. Observación directa del dispositivo (computadora) e información contenida en el
disco duro asociado a la misma.
2. Descripción detallada del estudio técnico.
3. Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con
base en la lógica formal.
Que para el presente caso la búsqueda se centro en la localización de información bancaria.
Actividad 3.2 Elaborar la guía para la obtención de los datos volátiles.
156
Cuando se realiza la recolección de evidencia digital, se debe proceder de lo volátil a lo

menos volátil.
A efectos del presente análisis, esta actividad no se aplica, toda vez que se tuvo acceso al
material objeto de estudio (computadora), cuando esta ya estaba apagada por lo que se
procedió a efectuar su análisis, directamente sobre su disco duro.
Actividad 3.3 Elaborar la guía para la obtención de los datos no volátiles.
Se consideran los elementos asociados a la computadora y que por sus características no

se considera que generen ó proporcionen información volátil.
Para el presente caso se seleccionó como fuente de información principal al disco duro
asociado a la computadora objeto de estudio (ver Figura 4.4).
Actividad 3.4 Elaborar el plan de la investigación para la obtención de datos.

1. Descubrir datos relevantes.
• No obtener información innecesaria.
2. Encontrar la evidencia.
157
Descartar la información no relacionada con el incidente para acotar la búsqueda de la

evidencia digital.
En el presente caso motivo de estudio, esta actividad se aplicó, definiendo y centrando la

búsqueda a la localización de información bancaria.
Actividad 3.5 Crear el procedimiento para la adquisición de la imagen.
Se elige el software para adquirir la imagen (copia bit a bit) de la evidencia digital y se
establece la forma (tamaño de archivos generados al obtener la correspondiente imagen,
por ejemplo archivos de 700 MB para guardarlos en CDs), en la que se adquirirá la imagen
forense, copia bit a bit del disco duro, objeto de estudio, así mismo si el caso de estudio así
lo amerita se obtendrá el ―Hash‖ de la imagen adquirida.
A efectos de realizar el presente análisis forense en informática, se eligió: la herramienta de

apoyo de Software Forense FTK Imager de AccessData Corp. [http://www.accessdata.com/]
158
Luego de haber realizado una somera revisión y con el fin de agilizar el análisis así como
ahorrar en espacio de almacenamiento (recalcando en este punto el uso del protector contra
escritura), se opto por obtener la imagen de una parte del disco duro.
Una vez identificado el material objeto de estudio y con el fin de ilustrar el procedimiento de
obtención de la imagen forense del disco duro objeto de estudio, primeramente se
presentan las siguientes pantallas en las que se muestra tal proceso de obtención:
Figura 4.7 Como primer paso se tuvo que montar el Disco Duro al Software.
159
En la figura anterior se observa la adición como evidencia a analizar con la herramienta de

Software Forense AccessData FTK Imager.
Archivo Borrado y
visualizado en FTK
Imager.
Figura 4.8 Salida tipo pantalla en la que se observa el contenido del disco a través del
software forense AccessData FTK Imager.
Así mismo se observa como este programa permite una vista previa de los archivos
almacenados en el disco duro, incluso los eliminados.
160
Figura 4.9 Salida tipo pantalla en la que se ilustra el ingreso de los datos del caso de
estudio.
De la figura anterior, es importante resaltar que con la información proporcionada a este

software, se creará la imagen de todo el disco duro bajo análisis (si se opta por la imagen
del Disco Duro Completo).
161
Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se le indican al
software forense, el destino de la imagen.
De la figura anterior, es importante señalar que el destino donde se guardará la imagen

tendrá que ser el suficiente para cumplir tal propósito, también es importante considerar el
nombre de los archivos generados y el tamaño de los fragmentos generados (archivos).
162
Figura 4.11 Salida tipo pantalla en la que se observa el progreso en la obtención de la

imagen total del disco duro.
Como se hizo referencia en líneas anteriores, para el presente estudio se opto por adquirir
la imagen de una sección de información (carpeta ―Documents and Settings‖), del disco duro
objeto de estudio, por lo que a continuación se presentan las pantallas que ilustran este
procedimiento personalizado:
163
Una vez que se montó el disco duro objeto de estudio (se adicionó como evidencia en el
software), se seleccionó la carpeta ―Documents and Settings‖, para lo que posteriormente se
seleccionó la opción ―Export Logical Image (AD1)‖, procedimiento que se muestra en la
siguiente Figura:
Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de la carpeta
―Documents and Settings‖.
164
Posteriormente y como resultado de ejecutar la opción ―Export Logical Image (AD1)…‖,

sobre el directorio elegido y antes especificado, se visualizaron tres recuadros con la
información que se muestra a continuación en la figura 4.13.
Figura 4.13 Salida tipo pantalla en que se muestra el termino del proceso para adquirir la
imagen de la carpeta ―Documents and Settings‖.
De la figura anterior, se observa que el software genero tres reportes: Creación de la

imagen al 100 %, Creación del directorio en forma de lista al 100 % y el ―Hash‖ (o firma
digital de la información) de la imagen.
165
Figura 4.14 Vista de los archivos generados al finalizar el procedimiento de obtención de la

Imagen de la información seleccionada (archivos con extensión: .ad1 y .ad2).
SubActividad 3.3.1 Crear una copia física exacta de la evidencia.
Se obtiene la imagen (copia bit a bit) de la evidencia digital.
En el presente caso objeto de estudio, esta actividad se aplicó de manera parcial ya que
como se definió con antelación fue la carpeta ―Documents and Settings‖, de la cual se
obtuvo su imagen forense.
SubActividad 3.3.2 Determinar los tipos específicos y cantidad de medios de los

cuales se obtendrá la imagen.
166
Cuando se obtengan las imágenes forenses (copias bit a bit), de diferentes equipos (discos
duros, memorias etc.), se deberán etiquetar de manera adecuada y correctamente a fin de
no cometer errores en el manejo y custodia.
En el presente estudio, el material fue identificado como ―01‖ y siendo un sólo elemento a
analizar, no hubo mayor problema con respecto a la individualización de su imagen forense.
SubActividad 3.3.3 Usar hardware o software para bloqueo de escritura.
Hacer uso de protectores contra escritura (para la exploración de evidencia digital).
Para la realización del presente estudio se contó con un bloqueador de escritura con el fin
de no alterar la evidencia original y mantener su la integridad de la información almacenada
intacta.
SubActividad 3.3.4 Verificar la integridad de nuestra evidencia calculando el “Hash”

por medio de los algoritmos MD5 ó SHA-1.
167
De acuerdo al software forense seleccionado se verifica la integridad de nuestra evidencia

calculando el ―Hash‖.
Derivado del proceso de obtención de imagen forense, se obtuvo el valor ―Hash‖ (guardado
en el archivo: ―Imagen del Disco Duro Objeto de Estudio.ad1.txt‖), que se muestra en la
siguiente figura:
Para el presente caso objeto de estudio se obtuvieron los siguientes valores ―Hash‖:
MD5 checksum: 2262c6f33fe0ed18e328a24e01523bb6
SHA1 checksum: a61e29c88aad2972c95e253451fafbd1aef43b4c
Lo anterior, se puede corroborar observando la figura que se muestra a continuación:
168
Figura 4.15 Vista del contenido del archivo generados con el valor ―Hash‖ de la imagen del
disco duro.
SubActividad 3.3.5 Custodiar el dispositivo de donde se obtendrá la imagen forense,

hasta su creación, verificación y respaldo, para evitar que esta sea alterada de
manera intencional.
Asegurarse que el material objeto de estudio se encuentre bien protegido.
169
Se mantuvo el equipo de cómputo bajo resguardo y protegido de cualquier eventualidad, de

igual manera se almaceno la imagen forense obtenida, bajo un medio ó soporte esterilizado
(para el presente caso motivo de estudio considérese que se uso para el resguardo de la
imagen forense, un disco duro nuevo) así mismo, se obtuvo el ―Hash‖ de la información
adquirida (obtenida).
SubActividad 3.3.6 Esterilizar el medio forense donde se almacenará la imagen.
Antes de que la imagen se deposite en un disco duro es una buena práctica esterilizar o
limpiar esté medio de destino.
Para el presente caso particular bajo estudio, la aplicación de esta actividad no aplica, toda
vez que considerando el tamaño (7.31 GB (7.856.263.168 bytes)) de los dos archivos que
conforman la imagen forense adquirida, no fue necesario utilizar un disco duro para su
almacenamiento, sino que basto el resguardarlos en un Disco Compacto DVD de doble
capa (estos discos tienen una capacidad de 8.5 GB).
170
SubActividad 3.3.7 Llevar un manejo adecuado en el almacenamiento de múltiples

imágenes.
Organizar adecuadamente el disco destino en el que se guardarán las imágenes forenses.
Para el presente caso motivo de estudio, la imagen forense se resguardo en un disco

compacto DVD de los llamados de doble capa, nuevo.
SubActividad 3.3.8 Asegurar que el medio que almacene la imagen, no sea utilizado
para imágenes posteriores, a menos que se le aplique un procedimiento que
garantice su esterilización.
No reutilizar un disco duro para el resguardo de evidencia, a menos que se realice un

procedimiento que asegure su esterilización.
Para el presente caso motivo de estudio, la aplicación de esta actividad no aplica, ya que
fue utilizado para el resguardo de las imágenes forenses adquiridas un disco compacto DVD
de doble capa.
171
SubActividad 3.3.9 Crear otra imagen de respaldo, y procurar trabajar sobre está.
Trabajar siempre sobre un respaldo y no sobre la evidencia.
En el presente análisis se trabajo sobre la imagen forense adquirida.
SubActividad 3.3.10 Registrar cualquier anomalía o circunstancia inusual encontrada

durante la creación de la imagen por medio de algún formato (capturas de pantalla,
etc.), para estar en posibilidades de hacer alguna aclaración.
Notificar y documentar cualquier desperfecto a la hora de obtener la imagen forense de la

información a analizar.
En el presente caso motivo de estudio, no se presentó ninguna anomalía en la obtención de

la imagen forense.
172
SubActividad 3.3.11 Registrar cualquier acción efectuada, para investigar y rectificar

los errores de la obtención de la imagen, los cuales deberán ser documentados.
Cualquier procedimiento encaminado a la rectificación de un error debe ser documentado.
En lo concerniente al presente caso motivo de estudio, la aplicación de esta actividad no

aplica, ya que no se produjo ningún error durante el estudio técnico desarrollado para dar
respuesta al Planteamiento del Problema.
SubActividad 3.3.12 Establecer que cualquier desviación del procedimiento para la
obtención de la imagen requiere de aprobación del perito en informática forense y ser
documentado, es decir que no se puede manipular la imagen sin autorización del
perito en informática responsable.
Cualquier intervención sobre la evidencia requerirá de la aprobación del perito en

informática forense y a su vez ser documentado.
A efectos del presente caso motivo de estudio, se estableció que la imagen forense se
obtenía de manera parcial y no del total del disco duro, toda vez que de la exploración que
se efectuó del disco duro, bajo estudio se observó que la información de interés se
localizaba en un directorio (se obtuvo la imagen forense de la carpeta: ―Documents and
Settings‖).
173
SubActividad 3.3.13 Establecer una política del manejo y almacenamiento de la

evidencia para mantener su integridad.
Deben definirse claramente las acciones a seguir con el manejo de la evidencia.
Por lo que respecta al presente caso motivo de estudio, se estableció el ocupar un disco
compacto DVD de doble capa para el resguardo de la imagen forense, derivado del tamaño
de los dos archivos generados.
SubActividad 3.3.14 Establecer, las condiciones posteriores a la adquisición:

• Manejo de imágenes forenses
• Manejo de la evidencia obtenida

• Conservación
• Transporte
Existen varios tipos de mecanismos que son utilizados para asegurar el transporte de la
evidencia, debido a que esta debe hacerse en bolsas antiestáticas, aislantes de
comunicaciones y en un buen contenedor para evitar que esta se dañe.
174
En lo concerniente al presente caso motivo de estudio, se hizo uso de bolsas antiestáticas

para salvaguardar el disco duro bajo estudio y se resguardo en un estuche plástico el disco
compacto DVD en el que se almacenaron las imágenes forenses obtenidas.
A continuación se desarrolla la Fase IV, de la presente Metodología:
175
4.4 Aplicación de la Fase IV. Análisis de Datos.
Se definen los criterios de búsqueda con objetivos claros, en el proceso de análisis de la

información.
Actividad 4.1 Preparar, el análisis correspondiente al caso de estudio.
Revisión de las imágenes forenses, para efectuar el análisis correspondiente.
Por lo que respecta al presente caso de estudio se procedió a montar los dos archivos
generados de imagen, al Software Forense para su respectivo análisis, como se muestra en
la siguiente figura:
176
Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia adquirida.
SubActividad 4.1.1 Contar con disponibilidad de datos:
Tener a la mano todas y cada una de las copias forenses correspondientes a la evidencia
adquirida de cada uno de los dispositivos bajo estudio.
177
En lo concerniente al caso objeto de estudio, se tuvo a la mano los archivos de la imagen

adquirida con el Software Forense, la cual se observó en la Figura 4.16.
SubActividad 4.1.2 Determinar el alcance del incidente, la extensión del daño

originado por él así como la naturaleza del mismo.
Contar con una estrategia de respuesta al incidente objeto de estudio; es importante

establecer, junto con las buenas prácticas de seguridad, estrategias para la identificación y
recolección de la evidencia del incidente. Por lo anterior es clave desarrollar y contar con
experiencia y entrenamiento en labores forenses en informática que permitan mayor
confianza en los procesos mencionados.
Considerar que si la evidencia es recogida de una manera adecuada, habrá mayores

posibilidades de establecer una ruta hacia el atacante y contar con mayores elementos
probatorios en el evento de una persecución y juzgamiento del intruso.
Con respecto al presente caso motivo de estudio no aplica esta Actividad ya que no es parte
del problema planteado.
178
SubActividad 4.1.3 Evitar lo más que se pueda, el uso de la computadora si está se

encuentra encendida y/o evaluar si conviene realizar el análisis de evidencia digital en
vivo y/o post-mortem (apagado).
Evaluar si conviene realizar el análisis en vivo (con la computadora encendida) y/o apagada.
En lo referente al presente caso motivo de estudio, el análisis se realizó sustrayendo el

disco duro de la computadora cuestionada (análisis post-mortem).
SubActividad 4.1.4 Evitar encender la computadora, en la medida de lo posible.
Si el equipo de cómputo se encuentra apagado, sustraerle el disco duro y hacer uso de

algún tipo de herramienta forense; por ningún motivo se deberá encender dicho equipo.
Para la realización del presente análisis la computadora cuestionada nunca fue encendida y
su estudio fue realizado haciendo uso de un protector de escritura.
179
SubActividad 4.1.5 Fijar fotográficamente la pantalla de la computadora, si ésta se

encuentra encendida, y de preferencia cuando se observe algo de interés para la
investigación.
Fijar fotográficamente cualquier dato de interés.
A efectos del presente caso objeto de estudio, la actividad en comento, no aplica ya que el
equipo se recibió apagado.
SubActividad 4.1.6 Realizar movimientos periódicos del Mouse.
Evitar que aparezca el protector de pantalla.
Por lo que se refiere a la presente investigación, esta actividad no aplica, ya que la

computadora bajo análisis, se recibió apagada.
180
SubActividad 4.1.7 Apagar la computadora del cable de alimentación (cuando el

investigador se apersone en el lugar de los hechos ó escena del delito y la computadora
este encendida).
Desconectar la computadora del cable de alimentación y/o quitar batería.
Para el presente caso objeto de estudio no aplica, ya que la computadora se recibió

apagada.
SubActividad 4.1.8 Considerar manuales e instructivos, documentos y notas que se

considere aporte datos a la investigación.
De ser necesario considerar cualquier documental que facilite el presente análisis motivo de
estudio.
Por lo que se refiere a la presente investigación, esta actividad no aplica, ya que se trata de
una computadora comercial sin equipo adicional, así como el Planteamiento del Problema
no requiere de un estudio más detallado.
181
SubActividad 4.1.9 Buscar información relacionada con el criterio de búsqueda

(descrito en el Planteamiento del Problema).
Centralizar la búsqueda de información en estricto apego al Problema Planteado.
Para el presente caso de estudio la búsqueda se centralizó en archivos de texto (plano ó

enriquecido), conteniendo información bancaria.
SubActividad 4.1.10 Determinar si los archivos no tienen algún tipo de cifrado.
Verificar si los archivos contienen algún tipo de cifrado.
En lo que concierne al presente caso objeto de estudio se procedió a abrir los archivos, sin
tener ningún problema.
182
SubActividad 4.1.11 Preparar el directorio o directorios de trabajo.
Se deberá seleccionar el área de trabajo (Subdirectorio, Carpetas ó Disco Duro), bajo la

cual se iniciará el análisis.
Por lo que refiere al presente caso objeto de estudio se determinó trabajar en la carpeta ó
directorio ―Documents and Settings‖.
SubActividad 4.1.12 Crear una estructura para directorios y archivos recuperados.
Tener un estricto control y orden al momento de recuperar información (archivos).
Derivado del desarrollo de la ―Actividad 3.5 Procedimiento para la adquisición de la imagen‖,

se obtuvo un archivo con extensión ―.csv‖, el cual contiene el directorio del disco duro bajo
análisis, el cual se muestra en la siguiente Figura:
183
Figura 4.17 Vista del archivo que generó el Software Forense al obtener la imagen del disco
duro motivo de estudio.
Actividad 4.2 Efectuar la extracción de evidencia.
Llevar a cabo la exploración sobre las Imágenes Forenses adquiridas con el fin de localizar
información relacionada con el Planteamiento del Problema.
184
Una vez obtenida la imagen (en este caso del directorio de interés y antes citado), se
procedió a trabajar sobre él, llevándose a cabo una exploración exhaustiva sobre las
Imágenes Forenses adquiridas con el Software Forense FTK Imager, con el fin de obtener la
información solicitada.
Figura 4.18 Exploración de la imagen forense obtenida.
185
Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos archivos que dan
respuesta al Planteamiento del Problema.
186
Derivado de la aplicación de la presente actividad, se localizaron dos archivos objetivo, que

se pueden visualizar en la Figura 4.19, los cuales corresponden a: ―bins.txt‖ y ―bolsa.doc‖.
SubActividad 4.2.1 Efectuar la extracción física de evidencia.
Se lleva a cabo la sustracción de archivos relacionados con los hechos que se investigan.
Una vez localizada la información requerida se procedió a sustraerla (Exportarla a otro

medio), con el fin de respaldarla y anexarla al documento final:
187
Figura 4.20 Salida tipo pantalla en la que se observa cómo se realiza el proceso de
exportación de archivos ubicados.
En la figura anterior se muestra la evidencia adquirida, (archivos que se localizaron,

trabajando sobre la imagen forense).
Cabe señalar que para el presente caso y tomando en consideración que la información
recuperada no representa un volumen grande de información, se tomo la decisión de
respaldarla en un disco compacto CD, el cual corresponde a un medio de solo lectura.
188
SubActividad 4.2.2 Documentar los procedimientos seguidos durante toda la etapa de

análisis.
Escribir a detalle el estudio técnico realizado sobre el material objeto de estudio.
Se procedió a documentar todo el estudio técnico como se observa en las figuras que
ilustran la presente Fase IV: ―Análisis de datos‖.
SubActividad 4.2.3 Identificar y recuperar los datos en los dispositivos físicos.
Obtener características físicas del dispositivo a ser analizado.
En el correspondiente caso objeto de estudio se tomo información recavada de la Actividad

2.1, SubActividad 2.2.12 y la Actividad 3.5. Dicha información consistió en datos como la
capacidad de almacenamiento físico (corroborándolo con el lógico en la Actividad 3.5),
número de serie (documentando el número de serie lógico recavado en la Actividad 3.5),
marca, modelo y algunas observaciones respecto a su estado físico.
189
SubActividad 4.2.4 Recabar información, nombres de usuario e información del AD

(Directorio Activo).
Recabar información correspondiente a los nombres de usuario y del directorio activo.
La presente actividad, no aplica en la investigación objeto de estudio toda vez que no es

SubActividad 4.2.5 Recuperar archivos y fragmentos de archivos útiles de los

directorios corruptos o perdidos.
Recuperación de archivos y fragmentos de archivos útiles.
No aplica en el presente caso motivo de estudio.
SubActividad 4.2.6 Identificar y recuperar los archivos objetivo (determinados por algunos
criterios, por ejemplo aquellos que han sido afectados por el incidente).
190

Identificar y recuperar los archivos objetivo, comparando sus valores ―Hash‖, (siempre y
cuando sean archivos de sistema).
En lo concerniente al presente caso objeto de estudio, se procedió a darle respuesta a lo

solicitado por la autoridad competente, en estricto apego a su Planteamiento del Problema,
para lo cual se procedió a localizar y extraer los archivos, con las características que
satisfacían su requerimiento.
SubActividad 4.2.7 Llevar a cabo la recuperación de archivos, archivos borrados y la

recuperación de información escondida.
Llevar a cabo la recuperación de archivos.
La presente actividad no aplica para el actual caso objeto de estudio, ya que no forma parte
del Planteamiento del Problema.
191
Actividad 4.3 Efectuar la extracción, lógica de evidencia.
Obtener información sobre el sistema de archivos.
No aplica en el presente caso motivo de estudio, ya que no forma parte del Planteamiento
del Problema.
SubActividad 4.3.1 Identificar y recuperar archivos y datos basados en la instalación

del sistema operativo, sistema de archivos y / o aplicaciones.
Identificación de datos basados en la instalación del sistema operativo.
En lo que se refiere al presente caso motivo de estudio, esta actividad no aplica, ya que no
es parte del Planteamiento del Problema.
SubActividad 4.3.3 Utilizar la herramienta adecuada para realizar el análisis.
Definir las herramientas a utilizar, para realizar el análisis.

192
Para dar cumplimiento a la presente actividad se determino trabajar con el Software

Forense FTK Imager de AccessData.
SubActividad 4.3.4 Extraer la información del sistema de archivos, para revelar las
características de la estructura de directorios, atributos, nombres, estampas de
tiempo, tamaño y localización de archivos.
Extracción de información del sistema de archivos.
Ésta actividad no aplica para el presente análisis, ya que no forma parte del Planteamiento
del Problema.
SubActividad 4.3.5 Extraer los archivos pertinentes para la evaluación, basándose en

nombre y extensión del archivo, cabecera de archivos, contenido y ubicación dentro
del dispositivo de almacenamiento.
Extracción de archivos pertinentes para la evaluación, basándose en nombre y extensión

del archivo.
193
Derivado de la exhaustiva exploración sobre el disco duro motivo de estudio, enfocándose

en los datos generados por el usuario y en estricto apego al Planteamiento del Problema se
obtuvieron dos archivos de texto, los cuales al abrirlos y visualizar su contenido
correspondieron a su extensión por lo que no fue necesario visualizar su cabecera
(haciendo uso de un editor hexadecimal).
SubActividad 4.3.6 Recuperar archivos borrados o archivos en espacios sin asignar

(Unallocated File Space).
Recuperación de archivos eliminados.
En lo concerniente al presente caso motivo de estudio, ésta actividad no aplica ya que no

forma parte del Planteamiento del Problema.
SubActividad 4.3.7 Extraer archivos protegidos, con passwords (contraseña),

encriptados y datos comprimidos.
Si se tiene la lista de password de usuarios y la colaboración de los usuarios, la

investigación será más fácil, de no ser así deberá documentarse el empleo de
herramientas que permitieron efectuar la extracción de contraseñas.
194
Extracción de archivos protegidos con passwords (contraseña), encriptados y datos

comprimidos.
Ésta actividad no aplica en el presente caso motivo de estudio, ya que los archivos
localizados y considerados como evidencia no poseen estos atributos, es decir no cuentan
con contraseña ó alguna otra característica que impida su apertura.
SubActividad 4.3.8 Utilizar software enfocado al análisis forense informático con el fin
de extraer la información del “file slack”.
Extraer la información del ―file slack‖.
No aplica en el presente caso motivo de estudio, ya que no es parte del Planteamiento del
Problema.
SubActividad 4.3.9 Obtener información del Archivo ―Swap‖ de Windows.
Obtención de información del archivo Swap.
195
En lo concerniente al presente caso motivo de análisis, esta actividad no aplica, ya que no

forma parte del Planteamiento del Problema.
Actividad 4.4 Analizar los datos extraídos.
Llevar a cabo un exhaustivo análisis de los archivos obtenidos.
Una vez extraídos los archivos producto de su búsqueda exhaustiva, se procedió a efectuar
su análisis.
SubActividad 4.4.1 Conceptualizar: agregación, correlación, filtrado y generación de

metadatos.
Se deberá interpretar adecuadamente los metadatos de cada archivo.
Se obtuvo información importante tal como la fecha de modificación, hora, nombre,

extensión y el tamaño de los archivos sustraídos, lo cual se muestra en la siguiente figura:
196
Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos de los
archivos localizados.
SubActividad 4.4.2 Efectuar un pre análisis de la evidencia.
• Agregación y transformación: Unificación y recuperación de datos.

• Generación de metadatos: categorización e indexación, esto es se registrarán
ordenadamente los datos e información obtenida de la evidencia.
Para el presente caso motivo de estudio, por el hecho de manejar poco volumen de
información localizada (dos archivos encontrados como evidencia), la información recabada
sobre la evidencia se presento directamente tal y como se obtuvieron sus pantallas en el
Software Forense y que se observa en la Figura 4.21.
197
SubActividad 4.4.3 Efectuar análisis de flujo de datos y procesos.
Determinar si existen procesos ajenos a los propios del sistema operativo o de las
aplicaciones.
No aplica en el presente caso motivo de estudio, ya que para el presente caso por recibirse
el equipo apagado y desconectado de cualquier red de cómputo, no se consideró necesario
e incluso tomando en cuenta que no forma parte de nuestro Planteamiento de Problema.
SubActividad 4.4.4 Relacionar datos y evidencia.
• Diferencia entre datos y evidencia, aislamiento y su contextualización.

• Como relacionar los datos obtenidos con la evidencia.
• Sostenimiento de la evidencia
En lo referente al caso motivo de estudio, la información recabada ó encontrada (dos

archivos), se le presentaron a la autoridad competente y se tomo la decisión de tomarlos
como evidencia.
198
Actividad 4.5 Efectuar el análisis de tiempo de los eventos.
Consiste en considerar fechas y tiempos en los archivos analizados.
No aplica en el presente caso motivo de estudio, ya que no forma parte del Planteamiento
del Problema.
SubActividad 4.5.1 Determinar cuando ocurrieron los eventos en un dispositivo de

cómputo.
Obtener datos de fecha y tiempo de la información comprometida y con base a ello concluir
cuando ocurrió determinado evento.
Ésta actividad no aplica para el presente caso motivo de estudio, ya que no forma parte del
199
SubActividad 4.5.2 Realizar el correspondiente estudio de los metadatos, (en especial

identificar las marcas de tiempo, creación, actualización, acceso, modificación, etc.).
Correlacionar los eventos y demostrar con ello la creación, modificación y último acceso.
Por lo que se refiere a la presente actividad, ésta no aplica para el presente caso motivo de
estudio, ya que no forma parte del Planteamiento del Problema.
SubActividad 4.5.3 Revisar los registros del sistema y aplicaciones.
Localizar posibles indicios de alguna intrusión y/o por el que se halla comprometido el
sistema.
La presente actividad no aplica en el para éste caso motivo de estudio, por no formar parte
del Planteamiento del Problema.
200
Actividad 4.6 Analizar los datos ocultos (de sistema).
Si la investigación así lo amerita efectuar un estudio detallado, sobre los archivos de

sistema.
No aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del
Problema.
SubActividad 4.6.1 Detectar y recuperar datos ocultos.
Para llevar a cabo dicha actividad el investigador puede apoyarse en un sin número de
aplicaciones gratuitas (muchas de ellas en ambiente Linux), que permiten realizar análisis
forenses informáticos, incluso existen Live CD (Disco que funciona como disco de ―Booteo‖
(Disco que inicializa un equipo)), tales como Live CD Helix3 de e-fense® , Live CD Forense
Raptor ó el Live CD de Informática Forense DEFT.
En lo referente a la presente actividad ésta no aplica para este caso, por no formar parte del
201
SubActividad 4.6.2 Correlacionar los encabezados de archivos a su correspondiente

extensión para identificar alguna discrepancia, esto se logra con editores
hexadecimales, como WinHex.
Después de elegir algún editor hexadecimal con el fin de explorar un archivo para corroborar
que corresponde el tipo de archivo con su extensión.
Para el presente caso motivo de estudio, no aplica ésta actividad por no formar parte del
Actividad 4.7 Analizar las aplicaciones instaladas.
Se identifican y analizan aplicaciones (herramientas informáticas, es decir programas de

aplicación).
Ésta actividad no aplica en el presente caso motivo de estudio, por no formar parte del
202
SubActividad 4.7.1 Obtener información relevante relacionada con la investigación

obtenida de los archivos y aplicaciones.
Obtener información que servirá, para la toma de medidas adicionales que deben de
adoptarse en la extracción y análisis de procesos.
Por lo que se refiere a esta actividad, para el presente caso motivo de estudio, no aplica.
SubActividad 4.7.2 Efectuar una revisión de nombres de archivos para determinar su

relevancia.
Tratar de obtener información adicional, basada en el nombre de los archivos bajo estudio.
Derivado del poco volumen de información que se manejo para el presente análisis, ésta
actividad no aplica.
SubActividad 4.7.3 Explorar el contenido de los archivos.
203
Efectuar la exploración de los archivos, considerados evidencia dentro del caso de estudio.
Para el presente caso motivo de estudio se procedió a abrir todos y cada uno de los
archivos obtenidos bajo el análisis y derivado de ello fueron considerados como evidencia.
SubActividad 4.7.4 Determinar el tipo del sistema operativo y/o sistema de archivos.
Efectuar la identificación del Sistema operativo y/o Sistema de archivos, del material objeto
de estudio.
La presente actividad no se aplica, por no formar parte del Planteamiento del Problema.
SubActividad 4.7.5 Obtener información sobre el Software instalado, actualizaciones y

parches.
Documentar la paquetería y actualizaciones con la que cuenta el elemento de estudio.
Ésta no se aplica para el presente caso motivo de estudio, por no ser parte del
204
SubActividad 4.7.6 Correlacionar los archivos de las aplicaciones instaladas.
Encontrar relación entre los archivos encontrados en el material de estudio y las

aplicaciones instaladas en el mismo.
La actividad antes citada no se aplica para el presente caso motivo de estudio, por no
formar parte del Planteamiento del Problema.
SubActividad 4.7.7 Identificar archivos desconocidos (raros dentro de la instalación

del software), para determinar su valor en la información.
Identificar archivos desconocidos y determinar su valor dentro de la investigación.
La actividad antes citada no aplica para el presente caso motivo de estudio, por no formar
SubActividad 4.7.8 Evaluar el lugar de almacenamiento por omisión de los usuarios

con lo que respecta a sus aplicaciones y a la estructura de archivos.
205
Determinar si la información se ha almacenado en el lugar por defecto o en otro lugar

(modificación de la configuración).
No aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del
Problema.
SubActividad 4.7.9 Evaluar las configuraciones del perfil de usuario.
Documentar la configuración del perfil de usuario del material motivo de estudio.
Para el presente caso motivo de estudio no se aplica ésta actividad, por no formar parte del
SubActividad 4.7.10 Buscar patrones de conducta del sospechoso, historial de

Internet, cookies etc.
El principal objetivo de esta actividad es recabar la información generada por el navegador

(motor de búsqueda) y vincularla a los hechos que se investigan.
206
La actividad no se aplica para el presente caso motivo de estudio, por no formar parte del
Actividad 4.8 Analizar datos de la Red de cómputo.
Documentar información relacionada con los dispositivos y/o elementos técnicos que
conforman la red de cómputo.
Ésta actividad no se aplica para el presente caso motivo de estudio, por no formar parte del
SubActividad 4.8.1 Identificar los dispositivos de comunicación y de defensa

perimetral.
Identificar dispositivos tales como: Servidores Web, ―Firewall‖, IDS‘s (Intrusion Detection
System), IPS‘s (Intrusion Prevention Systems), ―Proxys‖, Servidores de ―Logs‖, etc.
En lo que concierne al presente caso motivo de estudio, ésta actividad no aplica por no
formar parte del Planteamiento del Problema.
207
Ahora finalmente a continuación, se desarrolla la Fase V de la metodología propuesta, para

lo cual es necesario que se hayan realizado a cabalidad las fases anteriores de la presente
metodología.
208
4.5 Aplicación de la Fase V. Presentación de Resultados Obtenidos.
Se redacta y estructura el documento final que sustentará una prueba en un proceso legal.
Es la Fase que tiene como fin la presentación y entrega de los resultados obtenidos de la
investigación del análisis forense informático
Actividad 5.1 Considerar todas y cada una de las Actividades que conforman la
presente Fase a fin de cumplimentar lo necesario para estar en posibilidad de
redactar el documento final.
Tener presente todas las generalidades, sobre la elaboración del documento final y en el
cual se obtendrán la(s) conclusión (es) del caso bajo estudio.
Para la elaboración del Dictamen en la especialidad de Informática Forense, se

consideraron todas y cada una de las actividades que conforman la presente Fase, en lo
que concierne a la estructura del documento final.
209
SubActividad 5.1.1 Definir las secciones (estructura) del cuerpo del documento final.
El Dictamen en Informática Forense, podrá estar conformado de acuerdo a la experiencia

personal, por los apartados correspondientes a:
I) Antecedentes.
II) Planteamiento del Problema.
III) Identificación del material objeto de estudio.
IV) Consideraciones Técnicas.
V) Estudio técnico.
VI) Conclusiones ó Conclusión.
Así como secciones complementarias, como un ―Glosario‖, ―Apéndice‖ y/o ―Anexos‖.
Una vez practicadas las fases anteriores, se recabo la información obtenida de las mismas,
por lo que se opto para el presente caso objeto de estudio, incluir los siguientes apartados
dentro del documento final:
I) Antecedentes.
VI) Conclusiones ó Conclusión.
210
Tomando en cuenta, que en lo que respecta al apartado correspondiente a las

―Consideraciones Técnicas‖, esté estará sujeto a la consideración del perito que lleva el
caso (si de acuerdo al estudio realizado, se deriva alguna consideración técnica).
Posteriormente se verán desarrollados cada uno de estos aparatados.
SubActividad 5.1.2 Explicar claramente el objetivo del Dictamen Pericial y motivo por
el cual se realizó este estudio determinado.
Razón en la cual se motiva determinado análisis forense, sobre el material objeto de

estudio.
La presente intervención pericial estuvo motivada en la solicitud expresa de la autoridad

competente.
SubActividad 5.1.3 Incluir en el cuerpo del Dictamen el apartado correspondiente a

los Antecedentes.
El cual consistirá, en una breve narración de los hechos precedentes a la intervención

pericial, tales como la manera en la que se pone del conocimiento los hechos delictivos que
se investigan, quien solicita nuestra intervención pericial, a que lugar se tendrá que trasladar
el perito en informática forense, quien le pone a la vista el equipo objeto de estudio, persona
que lo recibe, hora de inicio del estudio y cualquier otra circunstancia que se relacione con
los hechos que se investigan, tal como si fue necesario consultar el expediente de la
211
averiguación previa o si se contó con el apoyo de cualquier otra persona a efecto de llevar a
cabo el estudio correspondiente.
Para el presente caso motivo de estudio, se tomó la decisión de incluir el apartado

correspondiente a los ―Antecedentes‖, por creerlo necesario ya que aclara algunos detalles
dentro de la investigación, quedando de la siguiente manera:
I) Antecedentes.
En atención a su oficio de petición de fecha 18 de diciembre de 2009, solicitado por la
C. Autoridad Competente, Lic. X, mediante el cual solicita se designe perito en
materia de informática, a efecto de que se trasladé y presente el día viernes 25 de
abril del año en curso, al domicilio de la Delegación X, la cual se encuentra ubicada
en X.
Una vez enterado de su petición me presente al lugar indicado en su oficio de

petición, lugar en donde fui recibido por el Lic. X, Titular de la Unidad Uno Con
Detenido, quien me informó que sería necesario realizar un análisis a un equipo de
cómputo, de igual manera me informa que previo a mi intervención pericial se
encuentra la de la policía en cómputo.
Una vez constituido en el interior de esta Delegación, el Lic. X, Titular de la Unidad X

Con Detenido, tuvo a bien ponerme a la vista el equipo de cómputo motivo de
estudio.
212
Cabe señalar que al momento de llevar a cabo la presente intervención pericial, el

equipo de computo bajo estudio, esté se encontraba apagado, sin cable alguno, sin
monitor, teclado y Mouse, es decir solo se recibió únicamente el gabinete el cual se
aprecia con marcas propias de uso.
De igual forma le informo, que el suscrito procedió a fijar fotográficamente el equipo

para constatar el estado en que se recibió contando con el apoyo del perito fotógrafo
el C. X.
SubActividad 5.1.4 Estudiar el apartado, correspondiente al “Planteamiento del

Problema”.
Le indica al perito en informática forense, de una manera clara y objetiva el motivo de su

intervención pericial.
Después de efectuar una atenta lectura al ―Planteamiento del Problema‖, se procedió a

realizar el estudio técnico, correspondiente con el fin de darle respuesta a lo requerido por la
A la letra dice: ―…localizar archivos de texto con Información Bancaria…‖
213
SubActividad 5.1.5 Incluir un apartado con la “Identificación del material objeto de

estudio”, (descripción a detalle del material objeto de estudio).
Se especifica por ejemplo el tipo de equipo, marca, modelo, numero de serie y/o inventario,
alguna observación tal como si se encuentra en buen estado ó maltratado.
Se llevo a cabo la Identificación plena del material objeto de estudio, quedando de la

siguiente manera:
minitorre), color negro, S/N: #LL#L#L#

con un disco duro.
Observación: El presente material objeto de estudio presenta marcas propias de uso, así
mismo se informa que el equipo es armado (sin marca).
214
SubActividad 5.1.6 Incluir un apartado para establecer las ―Consideraciones Técnicas‖,

necesarias para llevar a cabo el estudio correspondiente.
Se establecen las razones por las cuales se procederá de tal manera y/o justificaciones del
uso ó no de alguna herramienta informática.
Se establecieron una serie de consideraciones técnicas a tomar en cuenta en el documento

final, a fin de dar respuesta a futuras preguntas y justificar la manera en que se realizo el
estudio técnico, esto se puede observar a continuación:
El presente análisis se llevo a cabo en presencia del personal ministerial quien da fe

del estudio técnico efectuado.
A efecto de realizar la exploración del disco duro, este se sustrajo del gabinete objeto
de estudio (descrito en el apartado III del cuerpo de este documento), con el fin de
llevar a cabo su análisis en otro equipo de cómputo, haciendo uso de un protector
contra escritura y software de análisis forense. Una vez terminado su respectivo
estudio el disco duro fue ensamblado nuevamente en su ubicación original.
En lo que se refiere al uso del protector contra escritura, este dispositivo permite la
exploración de un disco duro con la propiedad de sólo lectura, con la finalidad de
preservar su contenido intacto.
215
En lo que se refiere al Disco Duro bajo análisis, éste fue reconocido, por el software
forense al que se monto (con el que se examino), como ―PHYSICALDRIVE0‖.
En cuanto a las pantallas presentadas en el presente documento, estas son

presentadas a escala para una mejor apreciación.
SubActividad 5.1.7 Establecer a detalle el desarrollo del estudio técnico.
Se determina la metodología a utilizar para el correspondiente análisis, acorde al problema

planteado.
Se estableció la metodología a implementar dentro del respectivo estudio técnico a seguir

durante el caso de estudio, el cual consistió en:
Observación directa aplicada al dispositivo (computadora) e información contenida en

el disco duro asociado a la misma.
Descripción a detalle del estudio técnico.
Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con
216
El presente estudio se dio inicio en las instalaciones de la Delegación X, Una vez

teniendo identificado el material motivo de estudio y en presencia de la fe ministerial
se procedió de la siguiente manera:
1.- En relación al gabinete descrito en el apartado III e identificado como 01 en el cuerpo de

este documento, se le procedió a sustraer su disco duro (marca: X, de 320 GB, Número de
Serie: ―#LL#L#L#‖), para posteriormente interconectarlo a una computadora que se le facilitó
al suscrito a efecto de llevar a cabo el presente estudio, previo la colocación de un protector
contra escritura marca X, Modelo: X, numero de serie:‖XXXXX‖ con el fin de mantener su
información almacenada intacta, al efectuar el presente estudio (exploración del disco duro).
Seguido y al momento de conectar el disco duro, en un equipo de cómputo auxiliar para

llevar a cabo su análisis se observó que fue identificado como: ―F:\‖, (Letra asignada a la
unidad de disco duro objeto de estudio y la cual se mostró cuando se exploró en Mi PC).
Figura 4.22 Conexión del Disco Duro bajo estudio al protector contra escritura.
217
Posteriormente, usando el software forense se procedió a obtener la imagen forense de la

información de interés:
Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de

Una vez obtenida la imagen forense, de la cual en el caso bajo estudio resultaron dos
archivos (―Imagen del Disco Duro Objeto de Estudio.ad1‖ y ―Imagen del Disco Duro Objeto
de Estudio.ad2‖), se procedió a montarlos (adicionarlos como evidencia en el software) en el
software forense, con el fin de llevar a cabo una búsqueda exhaustiva, de todo archivo de
texto que pudiera tener relación con el criterio de búsqueda especificada por la C. Autoridad
Competente (Planteamiento del Problema).
218
Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que conforman la
Imagen Forense del presente caso bajo estudio.
219
Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se
apegan al criterio especificado en el Planteamiento del Problema.
Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el
mismo de la misma manera en que se recibió.
SubActividad 5.1.8 Definir la conclusión ó conclusiones a la que se ha llegado, de una

manera clara y precisa.
La intervención pericial emite una conclusión que viene formulada sobre concretos datos
arrojados por el estudio técnico.
220
Con base a la aplicación de la presente metodología se llego a la siguiente:
VI) Conclusión:
Única: En el material objeto de estudio descrito en el apartado correspondiente a la

Identificación del material objeto de estudio e identificado como 01, se localizaron dos
archivos de texto: ―bins.txt‖ y ―bolsa.doc‖, los cuales se apegan al criterio especificado en
el Planteamiento del Problema.
SubActividad 5.1.9 Elaboración de Dictamen Pericial basado en la evidencia final

obtenida, para que esta sea presentada.
Con la información obtenida mediante la aplicación de la presente metodología se redacta el

Dictamen Pericial, que es, el objeto de la aplicación de la metodología que se presenta.
Se redactó, estructuró y elaboró el Dictamen en Informática Forense, incluyendo los

aparatados propuestos en la SubActividad 5.1.1.
Considerando el caso motivo de estudio a continuación se presentan los apartados

sugeridos en esta actividad, de acuerdo a como deberían presentarse en el documento
final:
221
I) Antecedentes.
En atención a su oficio de petición de fecha 18 de diciembre de 2009, solicitado por el
C. Autoridad Competente, Lic. X, mediante el cual solicita se designe perito en
materia de informática, a efecto de que se trasladé y presente el día viernes 25 de
abril del año en curso, al domicilio de la Delegación X, la cual se encuentra ubicada
en Y.
Una vez designado para atender su requerimiento, me presente al lugar indicado en

su oficio de petición, lugar en donde fui recibido por el Lic. X, Titular de la Unidad Uno
Con Detenido, quien me informó que, sería necesario realizar un análisis a un equipo
de cómputo, de igual manera, me informa que previo a mi intervención pericial se
encuentra la de la policía en cómputo.
Una vez constituido en el interior de esta Delegación, el Lic. X, Titular de la Unidad X

Con Detenido, tuvo a bien ponerme a la vista el equipo de cómputo motivo de
estudio.
Cabe señalar, que al momento de llevar a cabo la presente intervención pericial, el

equipo de cómputo bajo estudio, esté se encontraba apagado, sin cable alguno, sin
monitor, teclado y Mouse, es decir solo se recibió únicamente el gabinete el cual se
aprecia con marcas propias de uso.
De igual forma le informo, que el suscrito procedió a fijar fotográficamente el equipo

para constatar el estado en que se recibió contando con el apoyo del perito fotógrafo
el C. X.
222
A la letra dice: ―…localizar archivos de texto con Información Bancaria…‖

minitorre), color
S/N: #LL#L#L#
beige, con un disco
duro.
Observación: El presente material objeto de estudio presenta marcas propias de uso, así
mismo se informa que el equipo es armado (sin marca).
El presente análisis se llevo a cabo en presencia del personal ministerial quien da fe

del estudio técnico efectuado.
223
A efecto de realizar la exploración del disco duro, éste se sustrajo del gabinete objeto
de estudio (descrito en el apartado III del cuerpo de este documento), con el fin de
llevar a cabo su análisis en otro equipo de cómputo, haciendo uso de un protector
contra escritura y software de análisis forense. Una vez terminado su respectivo
estudio el disco duro fue ensamblado nuevamente en su ubicación original.
En lo concerniente al uso del protector contra escritura, cabe señalar que el mismo
permite la exploración de un disco duro con la propiedad de sólo lectura, con la
finalidad de preservar su contenido intacto.
Por lo que se refiere al Disco Duro bajo análisis, éste fue reconocido, por el software
forense al que se monto (con el que se examino), como ―PHYSICALDRIVE0‖.
En cuanto a las pantallas presentadas en el presente documento, estas son

presentadas a escala para una mejor apreciación.
Observación directa aplicada al dispositivo (computadora) e información contenida en

el disco duro asociado a la misma.
Descripción a detalle del estudio técnico.
Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con
224
El presente estudio se dio inicio en las instalaciones de la Delegación X, Una vez

teniendo identificado el material motivo de estudio y en presencia de la fe ministerial
se procedió de la siguiente manera:
1.- En relación al gabinete descrito en el apartado III e identificado como 01 en el cuerpo de

este documento, se le procedió a sustraer su disco duro (marca: X, de 320 GB, Número de
Serie: ―#LL#L#L#‖), para posteriormente interconectarlo a una computadora que se le facilito
al suscrito a efecto de llevar a cabo el presente estudio, previo la colocación de un protector
contra escritura marca X, Modelo: X, numero de serie:‖XXXXX‖ con el fin de mantener su
información almacenada intacta, al efectuar el presente estudio (exploración del disco duro).
Seguido y al momento de conectar el disco duro objeto de estudio al equipo de computo

auxiliar (computadora), con el fin de efectuar su exploración, el mismo fue identificado con la
Unidad: ―F:\‖, lo que se mostró seleccionando Mi PC y observando las unidades de disco
duro identificadas.
Figura 4.26 Conexión del Disco Duro bajo estudio al protector contra escritura.
225
Posteriormente usando el software forense se procedió a obtener la imagen forense de la

información de interés, lo cual se muestra a continuación.
Figura 4.27 Salida tipo pantalla en donde se muestra que el proceso de obtención de la
Imagen Forense, se efectuó con éxito.
Una vez obtenida la imagen forense, de la cual en el caso bajo estudio resultaron dos
archivos (―Imagen del Disco Duro Objeto de Estudio.ad1‖ y ―Imagen del Disco Duro Objeto
de Estudio.ad2‖), se procedió a montarlos (adicionarlos como evidencia en el software) en el
software forense, con el fin de llevar a cabo una búsqueda exhaustiva, de todo archivo de
texto que pudiera tener relación con el criterio de búsqueda especificada por la C. Autoridad
Competente (Planteamiento del Problema).
226
Figura 4.28 Salida tipo pantalla en donde se muestran los dos archivos que conforman la
Imagen Forense del presente caso bajo estudio.
227
Figura 4.29 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se
apegan al criterio especificado en el Planteamiento del Problema.
Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el
mismo de la misma manera en que se recibió.
Con base en lo anterior se determina la siguiente:
VI) Conclusión:
Única: En el material objeto de estudio descrito en el apartado correspondiente a la

Identificación del material objeto de estudio e identificado como 01, se localizaron dos
archivos de texto: ―bins.txt‖ y ―bolsa.doc‖, los cuales se apegan al criterio especificado en
el Planteamiento del Problema.
228
Observación: Se adjunta al presente documento, Disco Compacto DVD (con número de

serie: XXXXX), conteniendo los archivos extraídos, mismos que se apegan al requerimiento
especificado en el Planteamiento del Problema.
SubActividad 5.1.10 Plasmar la rúbrica del Autor en el Dictamen Pericial.
Firmar el Dictamen, así mismo no olvidar incluir en el cuerpo del Dictamen a todas las
personas que de alguna manera intervinieron en el caso bajo estudio.
Una vez conformado el presente Dictamen, se procedió a rubricarlo (firmarlo).
SubActividad 5.1.11 Incluir secciones complementarias, tales como la realización de

un glosario, apéndice y anexos.
El perito determinará, la necesidad de acompañar su Dictamen de otras secciones

complementarias que lo ilustren y lo complementen.
Para el presente caso motivo de estudio se acompaña el Dictamen de un disco compacto

DVD conteniendo los dos archivos encontrados y tomados como evidencia.
229
Actividad 5.2 Analizar y considerar todas las subactividades, que conforman la

presente actividad, con el fin de elaborar el documento final.
Al momento de realizar el documento final, será recomendable el tomar en consideración

todas y cada una de las subactividades que conforman la presente actividad.
Al momento de elaborar el Documento final motivo de la presente metodología, se

consideraron todas las subactividades que integran la respectiva actividad.
SubActividad 5.2.1 Explicar los resultados del análisis, donde se detallen con claridad
los hallazgos.
Utilizar un lenguaje claro y preciso para explicar los resultados obtenidos.
Como resultado de la aplicación de esta metodología, se redactó la conclusión obtenida de

una manera clara y precisa.
SubActividad 5.2.2 Realizar una bitácora de uso y aplicación de los procedimientos

técnicos utilizados.
230
Llevar a cabo una bitácora de los procedimientos a emplear.
Para el presente caso motivo de estudio, la actividad no aplica ya que por haber realizado
un estudio técnico relativamente sencillo en cuanto a procedimientos, en este caso no fue
necesario el realizar una bitácora.
SubActividad 5.2.3 Cumplir con exhaustivo cuidado con los procedimientos previstos
para el mantenimiento de la cadena de custodia.
Realizar un minucioso recuento en cuanto a la cadena de custodia efectuada.
Se redacto en el documento final una observación en la que se especifica la devolución del

material objeto de estudio (en el presente caso, una computadora).
SubActividad 5.2.4 Contar con todos los oficios recibidos y/o utilizados durante toda
la investigación.
Tener a la mano y por duplicado todos los oficios recibidos y/o redactados durante la
investigación.
231
Para el presente caso motivo de estudio, se da por hecho el haber llevado a cabalidad la
presente actividad.
SubActividad 5.2.5 Describir las herramientas enfocadas a la informática forense,

utilizadas durante el análisis.
Dar una breve explicación del uso de la aplicación informática ó hardware empleado durante
la investigación.
Se justificó el uso del protector contra escritura, así como su funcionamiento.
SubActividad 5.2.6 Citar a las pruebas, de una manera concreta con el fin de hacer
entendible la conclusión.
Las pruebas que se localicen y/o cualquier hallazgo se hará sin dar excesivos detalles
acerca de cómo se obtuvieron estas. Cualquier descripción a detalle, colocarlo en el
apartado correspondiente al estudio técnico.
232
Se redactó el apartado correspondiente a las conclusiones con un lenguaje sencillo y claro,

dejando cualquier detalle para el apartado correspondiente al estudio técnico.
SubActividad 5.2.7 Proporcionar una lista completa de todos los documentos

justificativos o de apoyo.
Tener bien documentado cualquier consulta a: indagatorias (expedientes de averiguaciones

previas), manuales (llámesele manual operativo, respecto a algún procedimiento) y/o
manuales institucionales, reglamentos etc.
En lo concerniente a la actual problemática bajo estudio, la presente actividad no aplica ya

que no se considero ningún manual ó documento de cotejo (comparativo) para realizar la
búsqueda de información bancaria.
SubActividad 5.2.8 Incluir antes de la firma del autor o autores, una nota aclaratoria
en la que se especifique que se entrega el material objeto de estudio de la misma
forma en la que se recibió.
Incluir una nota u observación en la que se especifique la entrega del material motivo de
estudio.
233
Se incluyó en el cuerpo del Documento Final, la siguiente leyenda: ―Una vez concluido el
análisis del material proporcionado para su estudio, se devolvió el mismo de la misma
manera en que se recibió.‖; de esta manera, se tendrá un mecanismo más para deslindarse
de cualquier responsabilidad por el daño ó perdida del material motivo de estudio.
SubActividad 5.2.9 Obtener siempre un acuse de recibido del Dictamen Pericial,

producto de la aplicación de la presente metodología.
Una vez terminado el Dictamen Pericial, se deberá tener el cuidado suficiente al momento
de ser entregado, cuidando detalles tales como, que la persona que reciba, escriba: su
nombre, firma, fecha (en ocasiones si se cree conveniente la hora también), y especifique
bien, que lo que está recibiendo es un Dictamen ó bien un informe o se establezca si recibe
anexos y por ultimo precise que recibe el material motivo de estudio.
Para el presente caso motivo de estudio la presente actividad se da por realizada (por
tratarse de un caso supuesto).
SubActividad 5.2.10 Realizar cualquier observación, dentro del documento final antes
de estampar la rúbrica (con el fin, de evitar que se invalide tal observación), se
recomienda firmar al margen todas y cada una de las fojas que constituyan el
Documento Final.
234
Se recomienda que todo texto vaya antes de firmar el dictamen, se recomienda firmar todas
las fojas que constituyan el mismo, así como no dejar espacios en blanco pronunciados.
Al elaborar el Dictamen, se llevaron a cabo todas las recomendaciones dadas por esta
actividad.
235
En este Capítulo, se desarrollaron las cinco Fases de la Metodología Propuesta, de acuerdo

a cada una de sus Actividades.
Con esto se verifica la funcionalidad y la viabilidad de la Metodología para ser aplicada por
un investigador forense en informática.
Se presentó la forma adecuada de realizar una intervención pericial en Informática Forense

ante la presunción de un delito informático, lo anterior mediante procedimientos para
identificar, asegurar, extraer, analizar y presentar las evidencias encontradas y guardadas
electrónicamente para que puedan ser aceptadas en un proceso legal. Se demostró la
importancia de realizar un claro, objetivo y puntual Planteamiento del Problema, así como, el
que cada fuente de información se catalogue e identifique preparándola para su posterior
análisis y la adecuada documentación de cada prueba aportada.
También se hizo hincapié en que las evidencias digitales, deberán ser obtenidas bajo la
aplicación de un adecuado estudio técnico, que garantice la integridad de ésta, permitiendo
elaborar un dictamen claro, conciso, fundamentado y justificado en las hipótesis que en él
se barajan a partir de las pruebas recogidas.
Ahora, para finalizar el documento de Tesis, en el siguiente Capítulo, se hará la valoración

de Objetivos, Trabajos Futuros y las Conclusiones del trabajo de Tesis.
236
Capítulo 5.-
Valoración de Objetivos, Trabajos

Futuros y
Conclusiones.
237
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
Capítulo 5. Valoración de Objetivos, Trabajos Futuros y Conclusiones.
5.0 Presentación.
En el Capítulo anterior, se aplicó la Metodología Propuesta para desarrollar todas y cada

una de sus Fases, compuesta por la: Fase I. Planteamiento del Problema, Fase II.
Identificación Detallada del Material objeto de estudio, Fase III. Adquisición de Evidencia,
Fase IV. Análisis de Datos y la Fase V. Presentación de Resultados Obtenidos.
Ahora en el presente Capítulo, se presenta la valoración de los objetivos, los trabajos a

futuro aplicables a la Metodología Propuesta, las conclusiones de este trabajo y por último
se anexa, la bibliografía utilizada de apoyo para la elaboración del presente proyecto de
Tesis.
5.1 Valoración de Objetivos.

5.1.1 Valoración del Objetivo General.
En el trabajo de Tesis se obtuvo una Metodología para llevar a cabo una intervención
pericial en Informática Forense, la cual puede ser muy útil al intervenir dentro de una
investigación donde se halla suscitado un incidente informático.
Con esto, se infiere que la Metodología Propuesta, puede ser aplicada en cualquier
investigación relacionada con delitos informáticos.
238
El objetivo general presentado: Proponer una Metodología con un enfoque sistémico para
su aplicación en la Informática Forense, en auxilio de la Justicia Moderna, el cual se cumple
a lo largo del desarrollo de los capítulos anteriores, así, como de los objetivos específicos.
La aplicación de la Metodología Propuesta dejó ver que el vasto mundo de la informática,

requiere de métodos y procedimientos flexibles y adaptables acorde a la vida real,
desarrollándose y aplicándose las cinco Fases que la integran.
Lo anterior, basado en un Enfoque Sistémico para la Realización de peritajes en informática

y bajo el fin mediato de la Criminalística (llegar a la verdad objetiva del hecho).
A continuación, se mostrarán los objetivos particulares alcanzados al finalizar el presente

proyecto de Tesis:
5.1.2 Valoración de Objetivos particulares.
Se considera, que se dio cumplimiento a los objetivos particulares de la tesis, debido a que
se realizó un trabajo para identificar las circunstancias y elementos a considerar al momento
de realizar una intervención pericial en la vida real.
A continuación, se muestra una tabla referente a los objetivos particulares:
239
Tabla 5.1 Valoración de los Objetivos Particulares.

Objetivo a Verificar Objetivo Verificado
¿Qué hacer? ¿Qué se obtuvo?
Conocer el medio ambiente en cuanto a Permitió obtener una visión del medio
los delitos informáticos, para conocer el ambiente donde se desarrollaron las
mecanismo de cómo se debe responder fases de la Metodología Propuesta, así
ante un eventual ataque informático. como el tener presentes algunas
consideraciones imprescindibles al
momento de llevar a cabo una
intervención pericial.
Analizar las Metodologías y estándares Fue esencial el conocer bajo que Medio
en cuanto a evidencia digital se refiere Ambiente se desenvuelve la Informática
para efectuar una evaluación y Forense, bajo el contexto legal en el
diagnóstico de la situación actual. marco de una intervención pericial.
Aplicar la metodología propuesta en un Se presentaron las actividades que

caso de estudio real para iniciar la integran la Metodología bajo un contexto
evaluación de su implementación. técnico – legal, encaminadas a obtener la
verdad histórica de los hechos que se
investigan.
Como se observa, en general se cumplieron los objetivos del proyecto de tesis; sin embargo
se puede considerar que, dentro de la aplicación de la Informática Forense existen otros
factores que son muy importantes, como son: el considerar los aspectos operacionales
como requerimientos técnicos para adquisición de evidencia, colaboración con otros grupos
u organismos de investigación, gestión de casos, la realización de cualquier estudio técnico
bajo el soporte de la Ley, desarrollo de políticas de seguridad para respuesta a incidentes y
plan preventivo y de continuidad. Esto se puede tomar en cuenta para los siguientes:
240
5.2 Trabajos Futuros:
En este apartado se engloban una serie de propuestas de continuación al trabajo iniciado

en esta tesis. Estas propuestas, quedan definidas mediante los siguientes puntos:
 Evaluación constante: Un aspecto importante que complementará el desarrollo de la

metodología propuesta consistirá en someter la metodología a una evaluación formal
y constante. Esta evaluación deberá ser guiada a través de criterios o mecanismos
establecidos por algún modelo – guía existente o bien, desarrollar la adaptación del
modelo ó guía para que pueda ser aplicado. Los resultados de la evaluación deberán
proporcionar información que permita detectar puntos débiles de la metodología, y de
esta manera, realizar una mejora en los procesos de la propuesta.
 Evidencia en la red: El presente trabajo presenta una metodología generalizada

aplicada a la Informática Forense, poniendo especial atención en los equipos de
cómputo (computadoras personales). Una propuesta de trabajo a futuro, puede
consistir en un proyecto que estudie ó proponga el desarrollo de métodos y técnicas
especializadas para efectuar el análisis sobre una red de cómputo, sea Internet,
intranet y sus elementos principales que la integran (por ejemplo los delitos
cometidos sobre el tráfico en la red a través de los llamados ―Sniffers‖).
 Tecnologías de comunicación: Adaptar la propuesta para aplicar la metodología a

equipos de telefonía celular, ya que los avances tecnológicos le han permitido a
estos dispositivos, el cumplir con varias de las funciones, que un equipo de cómputo
personal realiza.
241
 Vinculación con Instituciones de Justicia. Realizar los trámites y ajustes necesarios

para que la metodología se adapte al marco jurídico de estas Instituciones y, de esta
manera, pueda ser aceptada como parte de sus mecanismos auxiliares contra
aquellos delitos o incidentes que se requieran atender y resolver.
 Crear una empresa que ofrezca servicios de consultoría en Análisis Forense

Informático en Sistemas de Redes y Equipos de Computo Personal, ya que este tipo
de análisis es bien remunerado, siendo que un dictamen pericial sencillo esta valuado
en $ 8000.00 pesos incrementándose según su complejidad y el número de
elementos a estudiar.
242
5.3 Conclusiones del proyecto de tesis.
5.3.1 Conclusiones Generales.
A lo largo del desarrollo del presente trabajo se pudo llegar a comprender que el análisis
forense informático se traduce como: la ciencia que mediante la aplicación de
procedimientos técnicos permite identificar, adquirir, preservar, analizar, presentar y
sustentar la información que ha sido procesada electrónicamente y almacenada en un
medio computacional.
En el presente proyecto de tesis se expuso la problemática existente por la falta de

métodos, técnicas y procedimientos para la realización de intervenciones periciales, en
informática forense, dentro del marco legal mexicano.
No obstante de que la informática se encuentra inmiscuida en gran parte de nuestra vida

diaria, es perceptible en nuestra sociedad, la falta de difusión de la informática forense a
nivel nacional e institucional, lo que ha contribuido a que la gente pase por alto situaciones
que puedan ser consideradas como delitos o faltas administrativas.
Se propuso y aplicó una Metodología en la que se presentaron los resultados, de un

meticuloso análisis exploratorio, sobre el peritaje informático en México, así como de
algunas de las experiencias profesionales adquiridas en la actividad laboral del que
suscribe.
Estableciendo un marco referencial base, para cualquier investigador forense digital, en

aspectos técnicos, procurando la generación y fortalecimiento de iniciativas
multidisciplinarías, para la modernización y el avance de la administración de justicia, en el
contexto de una sociedad digital y de la información.
243
Con el empleo de la metodología propuesta, se contará con una herramienta sistemática

que permita realizar un análisis, estudio e inspección, del elemento causa del peritaje
informático, en forma: eficiente, confiable, segura y que le dará mayor veracidad a los
resultados obtenidos.
A pesar de que el desarrollo de la tesis no contempla el marco legal, la metodología

propuesta es capaz de auxiliar a aquellos organismos encargados de administrar justicia,
pues permite: guiar en el proceso de investigación digital, mantener la cadena de custodia y
establecer un dictamen confiable en el que se presentan los resultados de manera clara y
concisa.
Se presentaron y describieron algunas herramientas, que permiten realizar el análisis de la

evidencia digital, sobre el material objeto de estudio. Sin embargo, ninguna de ellas resulta
ser mejor que otra, más bien se complementan. Por lo tanto, es importante utilizar varias de
ellas para mejorar el proceso del análisis forense informático.
5.3.2 Conclusiones personales sobre el desarrollo del Proyecto de Tesis.
El presente proyecto de tesis ha sido posible gracias a que se llevaron a cabo una
integración y aplicación de conocimientos adquiridos en la ―Maestría en Ciencias en
Ingeniería de Sistemas‖. El saber aplicar la visión sistémica u holística, me permitió
obtener una nueva visión del mundo. Mediante el uso de Metodologías se obtienen
resultados concretos en la solución de problemas, ya que de esta manera se tienen
bases sólidas a partir de las cuales se obtienen resultados confiables que permiten
presentar un contenido claro y conciso en fondo y en forma.
Cabe señalar que este proyecto de tesis, representó para el suscrito una inestimable
oportunidad para aumentar y practicar los conocimientos adquiridos durante la
maestría, compaginado con la experiencia profesional.
244
La madurez y experiencias obtenidas, son el mayor de los logros a nivel personal y

profesional que serán aplicadas en el futuro en esos ambientes.
De manera particular y personal pienso que el cursar la ―Maestría en Ciencias en

Ingeniería de Sistemas‖, significó para mí un considerable crecimiento profesional y
el realizar la tesis refrendo el mismo y me permitió tener otra visión del desarrollo de
sistemas.
245
Bibliografía:
[Buzan, 1996], Buzan T., ―El libro de los mapas mentales‖, Ediciones Urano, España, 1996.
[Cámpoli, 2007], Cámpoli G., ―Delitos informáticos en la legislación mexicana‖, Instituto

Nacional de Ciencias Penales, México, 2007.
[Checkland,1994], Checkland P., ―La metodología de sistemas suaves en acción‖, Noriega

Editores, 1994.
[Galindo, 2005] Galindo L., ―Una Metodología para el Desarrollo y Redacción de un

Proyecto de Maestría‖. Memorias del 1er Congreso Internacional de Metodología de la
Ciencia y de la Investigación para la Educación; Instituto Tecnológico de Sonora y
Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C., 12 de Enero,
Ciudad Obregón, Sonora. Pp. 1505-1522.
[Galindo, 2008] Galindo L., ―Metodología para la creación de la‖Tabla Metodológica‖ o

―Solución Integral‖ como Apoyo al Desarrollo de Sistemas‖, Memorias del 4º Congreso
Internacional de Metodología de la Ciencia y de la Investigación para la Educación.
Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C. y CFIE del
IPN, 25 de Junio de 2008, México, D.F.
[Galindo, 2007] Galindo L., ―Una Metodología Básica para el Desarrollo de Sistemas‖,
Memorias del 3er. Congreso Internacional de Metodología de la Ciencia y de la
Investigación para la Educación, Asociación Mexicana de Metodología de la Ciencia y de la
Investigación, A.C. e Instituto Campechano; 23 de Marzo de 2007, Campeche, Camp.
[Hernández,1998] Hernández R., ―Metodología de la Investigación‖, McGraw Hill

Interamericana, México, 1998.
[Locard, 1963] Locard E., ―Manual de Técnica Policiaca‖. Editorial José Montesó, 1963.
[Moreno, 2009] Moreno R., ―Introducción a la Criminalística‖, Editorial Porrúa, México, 2009.
[Orellana, 1975] Orellana J., ―Tratado de Grafoscopía y Grafocrítica‖, Editorial Diana,

México, 1975.
246
Bibliografía.
[Rodao, 2005] Rodao J., ―Piratas Cibernéticos, Cybewars, Seguridad Informática e

Internet‖. Grupo Editorial Alfa Omega, México, Primera Edición, 2005.
[Shinder,2002], Shinder D., ―Prevención y Detección de Delitos Informáticos‖, Editorial

Anaya Multimedia, Primera Edición, México, 2002.
[Van Gigch, 1987] Van Gigch J. P, ―Teoría General de Sistemas‖.

Editorial Trillas, México D. F. MÉXICO, 1987.
Referencias a Internet:
http://archivos.diputados.gob.mx/Comisiones/Especiales/Acceso_Digital/Presentaciones/Pro
curacion_justicia_PGR.pdf
http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg00007.html
http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt
http://www.bibliojuridica.org/
http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.html
http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf
http://www.nist.gov/index.html
http://www.ojp.usdoj.gov/nij/funding/welcome.htm
http://www.fbi.gov/
http://www.caine-live.net/
247
Bibliografía.

Metodologia para El Analisis Forense Informatico en Sistemas de Redes y Equipos de Computo

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Metodologia para El Analisis Forense Informatico en Sistemas de Redes y Equipos de Computo

Diunggah oleh

Hak Cipta:

Format Tersedia

INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA

SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN

PROGRAMA DE POSGRADO EN INGENIERÍA DE SISTEMAS

MAESTRÍA EN CIENCIAS EN INGENIERÍA DE SISTEMAS.

“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS

MÉXICO D.F. OCTUBRE DE 2010.

“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN

En el presente proyecto de tesis, se presenta explícitamente la problemática

La metodología propuesta se encuentra compuesta por cinco Fases: I.-

Con el presente trabajo se busca establecer un marco referencial base de cualquier

La metodología propuesta se aplicó, dentro del presente proyecto de tesis, en un

Ing. Arturo Palacios Ugalde.

“METHODOLOGY FOR THE FORENSIC COMPUTING ANALYSIS IN

Ing. Arturo Palacios Ugalde.

Por darme la fortaleza y esperanza en los momentos difíciles.

Gloria Ugalde y Guzmán

Gabriel, Martin, Armando y Jonathan

Por ayudarme y apoyarme. Gracias por facilitarme las cosas.

Emiliano Palacios Fernández

Porque llegaste a iluminar mi vida, por tu sonrisa que me llena de esperanza

Por todo su amor, cariño y comprensión.

Ing. Arturo Palacios Ugalde.

Al Instituto Politécnico Nacional:

A todos aquellos que sin querer omito:

Ing. Arturo Palacios Ugalde.

Índice de figuras y tablas iv

Glosario de Términos viii

0.1 Presentación del Proyecto de Tesis xiii

0.2 Marco Metodológico para el desarrollo del proyecto de Tesis xv

Capítulo 1.- Marco Conceptual y Contextual

1.1. Marco Conceptual 2

1.1.1 Pirámide Conceptual 3

1.1.2 Descripción de conceptos clave definidos en la Pirámide 5

Capítulo 2.- Identificación y Análisis de la Situación Actual

2.2 Análisis de la situación actual al inicio del Proyecto de Tesis 25

2.3 Justificación del proyecto de Tesis 33

2.4 Definición de Objetivos del Proyecto de Tesis 33

Capítulo 3.- Desarrollo de la Metodología Propuesta

3.1 Introducción a la Metodología Propuesta 36

3.2 Presentación esquemática de la Metodología Propuesta 41

3.2.1 Fase I. Planteamiento del Problema 45

3.2.2 Fase II. Identificación detallada del material objeto de estudio 45

3.2.3 Fase III. Adquisición de evidencia 46

3.2.4 Fase IV Análisis de datos 47

3.2.5 Fase V. Presentación de resultados obtenidos 48

3.3 Descripción detallada de las Fases de la Metodología Propuesta 51

3.3.1 Fase I. Planteamiento del Problema 51

3.3.2 Fase II. Identificación detallada del material objeto de estudio 55

3.3.3 Fase III. Adquisición de evidencia 78

3.3.4 Fase IV Análisis de datos 89

3.3.5 Fase V. Presentación de resultados obtenidos 106

Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de Estudio

Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones

Referencias a Internet 247

Índice de figuras y tablas.

Figura 1.2 Reglas generales de la informática forense. 9

Representación esquemática de la intervención pericial en

Figura 1.4 Representación esquemática del Proceso de Investigación. 13

Figura 1.5 Modelo básico de la informática forense. 18

Figura 1.6 Modelo de informática forense complementario. 18

Productos a obtener bajo la aplicación de la Metodología Propuesta

Capítulo 2: Identificar y Analizar la Situación Actual.