TESIS
QUE PARA OBTENER EL GRADO DE:
MAESTRO EN CIENCIAS EN INGENIERÍA DE SISTEMAS.
PRESENTA:
ING. ARTURO PALACIOS UGALDE.
DIRECTOR DE TESIS:
M. EN C. LEOPOLDO ALBERTO GALINDO SORIA.
ABSTRACT
In this thesis Project, it is explicitly presented the existing problems due to the lack of
a methodology for the forensic expert analysis in computing, so it is proposed and applied
a forensic methodology for the analysis of networks systems and personal computing
equipments. Also, some interesting devices are studied, particularly detailing the analysis
on a personal desk computer. The result of the present thesis is intended to function as a
basic tool for the resolution of judicial controversies and complaints.
The proposed methodology consists of five stages: I.- Approach of the problem, II.-
Detailed identification of the material subject to study, III.- Obtention of evidence, IV.- Data
analysis, and V.- Presentation of the results obtained. The present stages are considered
as necessary and basic tools at the time of investigating a criminal act, and such tools will
enable us to carry out a systemic work which shall be methodologically structured and
systematically founded, considering that the methodology being proposed shall be applied
by forensic expert in computing, in assistance of the judicial authority.
The present work seeks to establish a basic reference framework for any digital
forensic investigator regarding technical and juridical aspects, tending to generate and
strengthen multidisciplinary initiatives for the modernization and improvement of justice
administration in the context of a digital society and computing.
The methodology proposed was applied within the present thesis project, in a case
under study presented in ―Chapter 4.- Localization of a file with specific information‖, with
the purpose of starting an evaluation of its applicability.
Agradecimientos
A Dios:
A mi Madre:
Por su amor infinito, su paciencia, su ánimo, su apoyo durante todos los días
de mi vida, por su espíritu inquebrantable y sus sabios consejos que me han
ayudado a vencer las adversidades y lograr mis metas. Gracias por toda la
confianza que en su momento, depositaste en mí.
A mis Hermanos:
A mi Hijo:
A mi Familia:
A mi Director de tesis:
El Profesor Prof. Leopoldo A. Galindo Soria
Por sus invaluables sugerencias y acertados aportes durante la realización
de esta tesis, por su generosidad al brindarme la oportunidad de recurrir y
compartir conmigo su talento y experiencia, en un marco de confianza, afecto y
amistad, fundamentales para la concreción de este trabajo.
Son muchas las personas a las que me gustaría agradecer su apoyo, ánimo
y compañía en las diferentes etapas de mi vida. Algunas están aquí conmigo y
otras en mis recuerdos y en el corazón. Sin importar en dónde estén quiero darles
las gracias por formar parte de mí y por todo lo que me han brindado.
Índice General.
Índice General i
Introducción xiii
2.1 Antecedentes 22
i
Ing. Arturo Palacios Ugalde.
Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
ii
Ing. Arturo Palacios Ugalde.
Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Bibliografía 246
iii
Ing. Arturo Palacios Ugalde.
Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
iv
Ing. Arturo Palacios Ugalde.
Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Número de
Figura o
Descripción: Página.
Tabla.
Imagen que se presenta a manera de Ilustrar un posible lugar de
Figura 3.6 60
los hechos.
Figura 3.10 Salida tipo pantalla, en la que se muestra el análisis al archivo 104
Index.dat, con el fin de mostrar las cookies almacenadas en éste.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.1 Identificación del material objeto de estudio. 121
Figura 4.2 Identificación del disco duro asociado al material objeto de estudio. 122
Figura 4.5 Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖), con la que 146
fue detectado el disco duro, asociado al material objeto de estudio.
Figura 4.6 Salida tipo pantalla en la que se ilustra el número de serie lógico 147
del volumen (―#L##-###L‖).
Figura 4.7 Como primer paso se tuvo que montar el Disco Duro al Software. 159
Figura 4.8 Salida tipo pantalla en la que se observa el contenido del disco a 160
través del software forense AccessData FTK Imager.
Figura 4.9 Salida tipo pantalla en la que se ilustra el ingreso de los datos del 161
caso de estudio.
v
Ing. Arturo Palacios Ugalde.
Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos 186
archivos que dan respuesta al Planteamiento del Problema.
Figura 4.20 Salida tipo pantalla en la que se observa como se realiza el proceso 188
de exportación de archivos ubicados.
Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos 197
de los archivos localizados.
Figura 4.22 Conexión del Disco Duro bajo estudio al protector contra escritura. 217
Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de 218
obtención de la Imagen Forense, se efectuó con éxito.
Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que 219
conforman la Imagen Forense del presente caso bajo estudio.
Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos, 220
localizados y que se apegan al criterio especificado en el
Planteamiento del Problema.
vi
Ing. Arturo Palacios Ugalde.
Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Número de
Figura o
Descripción: Página.
Tabla.
Figura 4.26 Conexión del Disco Duro bajo estudio al protector contra escritura. 225
vii
Ing. Arturo Palacios Ugalde.
Indice.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
GLOSARIO DE TÉRMINOS.
Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos
medios, sino también a partir de los mismos.
Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema
encomendado para producir una explicación consistente.
viii
Ing. Arturo Palacios Ugalde.
Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias
fundamentales del estudio efectuado, los métodos y medios importantes empleados, una
exposición razonada y coherente, las conclusiones, fecha y firma.
Si los peritos no concuerdan deberá nombrarse un tercero para dirimir la discordia, quien
puede disentir de sus colegas.
ix
Ing. Arturo Palacios Ugalde.
Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
A fin de lograr una adecuada captación del material sensible, nuestros sentidos deben estar
debidamente ejercitados para esos menesteres y, de preferencia, deben ser aplicados
conjuntamente al mismo objeto. De este modo se evita toda clase de errores y distorsiones
en la selección del material que será sometido a estudio. Cuando se comprueba que está
íntimamente relacionado con el hecho que se investiga, se convierte ya en evidencia.
Metodología [Van Gigch, 1987]: Se refiere a los métodos de investigación que se siguen
para alcanzar una gama de objetivos.
Metodología Suave [Checkland, 2005]: La Metodología de Sistemas Suaves (SSM por sus
siglas en inglés) de Peter Checkland; es una técnica cualitativa qué se puede utilizar para
aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse
de los problemas situacionales en los cuales hay un alto componente social, político y
humano.
x
Ing. Arturo Palacios Ugalde.
Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Peritaje [Orellana, 1975]: Es el examen y estudio que realiza el perito sobre el problema
encomendado para luego entregar su informe o dictamen pericial con sujeción a lo
dispuesto por la ley.
Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas
partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio.
Sistema [Van Gigch, 1987]: Es una reunión o conjunto de elementos relacionados. Estos
elementos pueden ser objetos, conceptos, sujetos; como un sistema hombre-máquina, que
comprende las tres clases de elementos.
xi
Ing. Arturo Palacios Ugalde.
Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Tales componentes lógicos incluyen, entre muchos otros, aplicaciones informáticas como el
procesador de textos, que permite al usuario realizar todas las tareas concernientes a la
edición de textos o el software de sistema tal como el sistema operativo, que básicamente,
permite al resto de los programas funcionar adecuadamente.
xii
Ing. Arturo Palacios Ugalde.
Glosario de términos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
INTRODUCCIÓN.
0.1 PRESENTACIÓN DEL PROYECTO DE TESIS.
xiii
Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xiv
Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
En todo trabajo de investigación, se hace necesario, que los hechos estudiados, los
resultados obtenidos y las evidencias significativas encontradas en relación al problema
investigado, reúnan las condiciones de confiabilidad, objetividad y validez; para lo cual, se
requiere definir los métodos, técnicas y procedimientos metodológicos, a través de los
cuales se intenta dar respuestas a las interrogantes objeto de investigación.
xv
Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis [Galindo, 2008].
Metodología Actividades Herramientas Metas
Técnicas
Propias del Proyecto (¿Con qué (¿Qué Obtener en
(¿Cómo hacer?)
(¿Qué hacer?) hacer?) particular?)
Avocarse a la tarea de la Investigación y cotejo Consulta de La selección de la
recopilación y análisis de de diversas bibliografía. metodología a seguir.
una metodología a seguir metodologías acordes
para el desarrollo del al presente proyecto de
proyecto de tesis Uso de los tesis.
Métodos Analítico y
Sintético.
Inicio de la aplicación de la Tener bien claro el Inicio del proyecto de
metodología para el objetivo a alcanzar. Tesis.
desarrollo
de la Tesis.
Definir cuál es o será el tema Búsqueda de Computadora El tema de Tesis.
del proyecto de Tesis. información acerca de personal, acceso
interés y que a Internet,
contribuyan a resolver Bibliografía.
un problema.
Identificar y conocer el medio Identificar los Observación. El alcance y el enfoque
ambiente correspondiente. elementos sistémicos. Computadora e que tendrá la Tesis.
Internet.
Investigación
Bibliográfica.
Crear una pirámide Aplicación del método Computadora e Representar
conceptual, para definir el Deductivo es decir Internet. gráficamente el
Marco Conceptual. ubicar de lo general a Investigación proyecto de Tesis y el
lo particular los Bibliográfica. producto principal a
elementos que obtener.
intervienen.
Hacer una descripción de los Hacer una lista de los Computadora e Explicar los conceptos
conceptos definidos en la conceptos incluidos en Internet. en forma breve dando
pirámide conceptual. la pirámide conceptual. Investigación el marco conceptual
Bibliográfica. donde se ubicará el
proyecto de Tesis.
Hacer un análisis de la Creando un cuadro Observación. Información para
situación actual, del área y comparativo con Investigación, justificar la Tesis.
procesos bajo estudio y ventajas y desventajas. Cuestionarios.
realizar una evaluación y Entrevistas.
Computadora e
diagnóstico correspondiente.
Internet
Procesador de
Palabras, Hoja de
cálculo.
xvi
Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xvii
Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Metodología,
Actividades Metas
Técnicas Herramientas
Propias del (¿Qué Obtener en
(¿Cómo hacer?) (¿Con qué hacer?)
Proyecto particular?)
(¿Qué hacer?)
Redacción del Conforme avance en Computadora Escribir el documento
documento de Tesis trabajo la Tesis. Procesador de de Tesis
Palabras, Hoja de
cálculo, Presentación.
Observación, Análisis
e investigación.
Valoración del Revisando el Computadora Conclusiones acerca
cumplimiento de los cumplimiento de los Procesador de del cumplimiento de
objetivos. objetivos. Palabras, Hoja de los objetivos.
cálculo, Presentación.
Observación, Análisis
e investigación.
Definición de Proponiendo mejoras Computadora Definir trabajos a
trabajos futuros. continuas y seguimiento Procesador de futuro.
al trabajo. Palabras, Hoja de
cálculo, Presentación.
Observación, Análisis
e investigación.
Conclusiones del Redactar los beneficios y Computadora Conclusiones
proyecto de Tesis. la utilidad que Procesador de referentes al trabajo
representa el trabajo de Palabras, Hoja de de Tesis.
Tesis. cálculo, Presentación.
Observación, Análisis
e investigación.
xviii
Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xix
Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Dada esta base teórica, es posible integrar en el proyecto aquellos requisitos más
específicos con los que la metodología propuesta deba cumplir.
La Metodología Propuesta, tiene como base el tener un enfoque sistémico la cual consiste
en: Plantear el Problema, Identificación detallada del material objeto de estudio, Adquisición
de la evidencia, Análisis de los datos, y Presentación de los resultados (la información o
datos obtenidos). En el presente capítulo se genera la estrategia de creación de la
metodología. Esta estrategia considera: la aplicación del método científico, utilización de
metodologías (en el área de la informática forense) para el manejo de la evidencia digital
reconocidas a nivel internacional.
xx
Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
Capítulo 1
El marco conceptual y contextual
-Pirámide Conceptual.
-Descripción de Términos.
Capítulo 2
-Análisis, evaluación y diagnóstico de la situación al inicio del
IMPARTICIÓN DE JUSTICIA. proyecto de tesis. INSTITUCIÓN DE PROCURACIÓN
DE JUSTICIA.
-Identificar y analizar la situación actual.
CAPITULO 3
Capítulo 4
FASE V
FASE IV
FASE III
FASE II
FASE I
xxi
Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 1.-
1
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Tal y como se ha manifestado con antelación en el presente trabajo las nuevas tecnologías
se hacen cada día más importantes; la gente usa el Internet para comprar, las grandes
corporaciones se valen del correo electrónico para funcionar de forma más eficiente y los
delincuentes se hacen diestros en la utilización de los avances tecnológicos como
herramienta para delinquir. La prueba documental y el arma homicida están perdiendo
vigencia con rapidez.
2
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Cabe señalar que al momento de la redacción del presente trabajo se consideraron las
guías generadas en países con mayor desarrollo y experiencia en esta área científica, con
el fin de identificar los rasgos y características esenciales sin el ánimo de realizar juicios a
priori, algunos de estos rasgos considerados esenciales fueron tomados como base para la
creación de la metodología en informática forense motivo del presente proyecto de tesis y
otros procedimientos de los que se hace referencia en materia de peritaje informático.
Una vez concluida esta primera parte del trabajo tendremos una visión holística sobre la
tendencia mundial en materia de Informática Forense aplicada al peritaje informático y sin el
temor de caer en la trampa del etnocentrismo, estaremos en condiciones de realizar una
sugerencia informada para ayudar a la implementación de lo que sería el estándar
Mexicano de buenas prácticas en materia de peritaje informático.
3
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
4
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Estos conceptos representan la base para una mejor comprensión del contenido del
presente proyecto de Tesis. Presentación en orden según su estructura de la Pirámide
Conceptual, de abajo hacia arriba y de izquierda a derecha.
Metodología [Van Gigch, 1987 ]: Se refiere a los métodos de investigación que se siguen
para alcanzar una gama de objetivos.
Metodología Suave [Checkland, 2005]: La metodología de Sistemas Suaves (SSM por sus
siglas en inglés) de Peter Checkland es una técnica cualitativa que se puede utilizar para
aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse
de los problemas situacionales en los cuales hay un alto componente social, político y
humano.
Delito informático [Shinder, 2002]: son todos los actos que permiten la comisión de
agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o
instituciones y que por lo general son ejecutados por medio del uso de computadoras y a
través del mundo virtual de Internet.
Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos
medios, sino también a partir de los mismos.
5
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema
encomendado para producir una explicación consistente. Esa actividad cognoscitiva será
condensada en un documento que refleje las secuencias fundamentales del estudio
efectuado, los métodos y medios importantes empleados, una exposición razonada y
coherente, las conclusiones, fecha y firma.
Criminalística [Moreno, 2009]: es ‖la disciplina que tiene por objeto el descubrimiento,
explicación y prueba de los delitos, así como la detección de sus autores y víctimas‖.
6
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Así para Moreno González, por ejemplo, la Criminalística "es la disciplina que aplica
fundamentalmente los conocimientos, métodos y técnicas de investigación de las ciencias
naturales en el examen del material sensible significativo relacionado con un presunto
hecho delictuoso con el fin de determinar en auxilio de los órganos encargados de
administrar justicia, su existencia o bien reconstruirlo, o bien señalar y precisar la
intervención de uno o varios sujetos en el mismo".
Indicio [Moreno, 2009]: El término indicio proviene de latín indictum, que significa signo
aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o
indicación. Por lo tanto, es todo material sensible significativo que se percibe con los
sentidos y que tiene relación con un hecho delictuoso;
7
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Prueba [Moreno, 2003]: Indicio, muestra o señal de una cosa. Razón testimonio u otro
medio con que se pretende probar una cosa. Criminalisticamente es el indicio o evidencia
que habiendo sido examinado, estudiado y analizado con la opinión de un experto se
fundamenta.
FBI [http://www.fbi.gov/]: Buró Federal de Investigaciones, (FBI, por sus siglas en inglés).
8
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
De manera más formal podemos definir el Análisis Forense Digital como un conjunto de
principios y técnicas que comprende el proceso de identificación, adquisición, preservación,
análisis y documentación-presentación de evidencias digitales y que llegado el caso puedan
ser aceptadas legalmente en un proceso judicial.
Dado que el último producto del proceso forense (Dictamen) está sujeto al análisis judicial,
es importante que las reglas que lo gobiernan se sigan. Aunque estas reglas son generales
para aplicar a cualquier proceso en la informática forense, su cumplimiento es fundamental
para asegurar la admisibilidad de cualquier evidencia en un juzgado. Dado que la
metodología que se emplee será determinada por el especialista forense, el proceso
escogido debe aplicarse de forma que no se vulneren las reglas básicas de la informática
forense (Figura 1.2).
Por evidencia digital se entiende al conjunto de datos en formato binario, esto es,
comprende los archivos, su contenido o referencias a éstos (meta-datos) que se encuentren
en los soportes físicos o lógicos (equipamiento lógico) del sistema atacado.
9
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Dentro del Análisis Forense Digital Básico, podemos destacar las siguientes fases, que
serán desarrolladas con más detalle a lo largo de este documento:
En el mundo real significa que: ―si piso la escena del crimen (término anglosajón, en
México se usa el de Lugar de Hechos) con toda seguridad dejaré algo mío ahí, que puede
ser: pelo, sudor, huellas, etc. Pero, también me llevaré algo conmigo cuando abandone la
escena del crimen, ya sea barro, olor, una fibra, etc.‖ [Locard, 1963]. Con algunas de estas
evidencias, los forenses podrán demostrar que hay una posibilidad muy alta de que el
criminal estuviera en la escena del crimen.
10
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En la Figura 1.2, se muestra la forma de interacción de los diversos factores que intervienen
en un Peritaje de Informática Forense, como son Delito – Legislación - Denuncia –
Intervención Pericial – Dictamen Pericial, con un enfoque sistémico.
La siguiente figura muestra a manera de ilustración el escenario en donde se desenvuelve
un peritaje informático, así como los elementos y/o eventos que se ven involucrados para tal
efecto: Aplicación de Metodología en
Informática Forense, Software y
Herramientas Adecuadas
Legislación
Situación
Actual
Situación Futura
Certeza, Confiabilidad
y Precisión en el
Análisis realizado
Malas sobre el equipo de
Prácticas cómputo motivo de
Forenses. estudio.
Metodología en
Informática Forense
aplicada por un Perito en
Informática
Sabemos por experiencia, que los medios informáticos alteran al menos en parte, los
esquemas tradicionales de interacción social y ofrecen nuevas formas de relación
interpersonal. De aquí se desprende, como consecuencia necesaria e indispensable, el
hecho de que además sirven como medios de comisión de delitos; es aquí, en donde
resalta la importancia de aplicar una metodología que proporcione a la autoridad una
valoración técnica que sea totalmente confiable.
12
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Las etapas que se describen a detalle a continuación tienen como base las metodologías de
informática forense y procedimientos para la obtención de evidencia digital, las cuales están
consideradas dentro de algunas guías y metodologías en informática forense y serán
descritas con mayor o menor detalle dependiendo de la relevancia que tenga dentro del
presente proyecto de Tesis.
Un análisis en informática forense para que pueda ser válido ante una instancia judicial del
orden civil o penal, debe cumplir por lo menos con dos características esenciales, el empleo
del método científico y el mantener la integridad de la evidencia desde el inicio hasta el final
del proceso de análisis forense informático.
A continuación, se describen las etapas de la metodología básica aplicada al peritaje
informático:
13
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
2.- Identificación.- Tiene como fin la localización de las fuentes de información de una
manera lógica, clara exacta e inteligente, cuestionándose que información se requiere para
poder realizar la investigación, por ejemplo estas son algunas de las preguntas básicas que
tienen que hacerse:
14
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.- Adquisición de la imagen del disco (en general cualquier unidad de almacenamiento)
o recopilación de evidencias. Consiste en llevar a cabo el plan diseñado, de acuerdo a la
información obtenida de la fase de identificación y tiene como objetivo obtener la imagen
(copia bit a bit) de la evidencia digital e información que será necesaria para la fase de
análisis forense, en esta etapa es de suma importancia no alterar la evidencia digital, es
decir, evitar en todo momento que sea modificada la evidencia por la manipulación del
software o hardware, por consiguiente es necesario tomar las medidas de seguridad
necesarias para mantener aislado en lo posible el equipo a inspeccionar.
Con la cadena de custodia se ubica fielmente al material cuestionado o bajo análisis, bajo
resguardo de quienes se encuentra, donde se encuentra almacenada, quien o quienes la
han manipulado, que proceso ha seguido durante su aseguramiento o decomiso, etc.
Esto último es útil, para el perito en informática forense porque se les hace difícil a los
jueces discutir con éxito la integridad de la evidencia digital presentada.
Para demostrar que la evidencia digital no fue alterada desde la fase de adquisición, se le
extrae una huella digital o firma digital (―hash‖, el cual representa de manera unívoca a un
archivo) de la unidad de almacenamiento correspondiente al equipo de cómputo a ser
analizado, esta huella digital es un valor numérico calculado que resume una cantidad de
información, es decir, que un archivo de determinado tamaño al aplicarle esta función, dará
como resultado un valor numérico único, si el archivo llega a ser modificado en cualquiera
de sus partes y se le aplica nuevamente esta función ―hash‖, el resultado será diferente del
original.
Algunos algoritmos criptográficos usados con este propósito son: MD5 o SHA-1.
16
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La fase de análisis debe documentarse en todas sus partes y seguir un método científico
que permita independientemente de la metodología utilizada por el perito en informática
forense, repetir el suceso cuantas veces sea necesario para demostrar que el resultado
obtenido del análisis es el correcto. Es decir:
La información del reporte debe ser completa, clara, acertada, exhaustiva y escrita a
manera de que sea entendible para cualquier lector, conteniendo anexos a manera de
ilustrar a la autoridad competente. Lo anterior se resume como:
17
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Etapa de Etapa de
Etapa de Obtención. Etapa de Análisis.
Identificación. Presentación.
Etapa de Etapa de
Etapa de Obtención. Etapa de Análisis.
Identificación. Presentación.
Etapa de
Documentación.
18
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 1.7 Productos a obtener para el Análisis Forense Informático en Sistemas de Redes
y Equipo de Cómputo [Fuente propia].
De la figura anterior, se observa que el primer elemento a obtener, es el contar con una
―Solicitud Clara y Objetiva‖, ya que de aquí derivará la aplicación de la metodología
propuesta, una vez obtenida esta solicitud se tendrá una ―Situación definida e identificada‖,
de igual manera se obtendrá una adecuada ―Cadena de Custodia‖ para que los resultados
que arroje la metodología sean validos, así mismo se tendrá el ―Material Objeto de Estudio
Asegurado‖ y remitido al perito en informática para su análisis; posteriormente, y en el
mismo orden de ideas se obtendrá la imagen de la evidencia (copia bit a bit o Idéntica), con
el fin de trabajar sobre ella, finalmente se tendrá que obtener el correspondiente Peritaje o
Dictamen Informático.
19
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Ahora en el siguiente capítulo, se entrará a la situación actual al inicio del trabajo de tesis,
para identificar que metodologías tratan de obtener o llegar al Sistema, últimamente
referido, para establecer sus ventajas y desventajas, para de esta manera hacer un
diagnóstico de las mismas y entonces definir la posible necesidad de proponer una
metodología, así como la justificación de la misma.
20
Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 2.-
Identificación y Análisis de la
Situación Actual.
21
Ing. Arturo Palacios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
2.1 Antecedentes.
En nuestro país el análisis forense informático presenta todavía un serio rezago en cuanto
al desarrollo y aplicación de metodologías al m<omento de enfrentarse con una
investigación de carácter forense.
Para solventar la situación anterior, se han desarrollado trabajos internacionales que han
destacado la importancia de contar con una metodología formal y estandarizada al
momento de manejar la evidencia durante el proceso de investigación, tal como el
desarrollado por Jim McMillan en donde cita ―Obedecer una metodología estándar es crucial
para realizar un análisis exitoso y efectivo en la informática forense. Tal como los
programadores profesionales utilizan una metodología minuciosa de programación, los
profesionales forenses también deberían utilizar una metodología de investigación
detallada‖ y además agrega que ―una metodología estándar proporcionará protección y
ciertos pasos comunes que deberán ser realizados durante el proceso de investigación‖,
[http://www.moreilly.com/CISSP/DomA-3-Importance%20of%20a%20Standard%20Methodol
ogy%20in%20Computer%20Forensics.pdf].
22
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
23
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Guías Mejores Prácticas: Existen gran cantidad de guías y buenas prácticas que nos
muestran como llevar a cabo la gestión de la evidencia digital.
Las guías consideradas para la elaboración del presente trabajo, tienen como objetivo
identificar evidencia digital con el fin de que pueda ser usada dentro de una investigación.
24
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Estas guías se basan en el método científico para concluir o deducir algo acerca de la
información. Presentan una serie de etapas para recuperar la mayor cantidad de fuentes
digitales con el fin de asistir en la reconstrucción posterior de eventos.
25
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En general, él análisis se hará para identificar las metodologías existentes relacionadas con
las tecnologías de la Información, en particular se verá la forma de análisis con respecto a la
Informática Forense, para así obtener sus ventajas y desventajas.
2.- Estándar, ―Secure Hash Standard (SHS) Federal Information Processing Standards
Publications (FIPS PUB 180-3)‖, emitido por el Instituto Nacional de Estándares y
Tecnología (NIST), USA, [http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf].
3.- El ―RFC 3227: Guidelines for Evidence Collection and Archiving‖ (Guía Para Recolectar y
Archivar Evidencia), escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea,
Ingenieros del Network Working Group, USA, [http://www.ietf.org/rfc/rfc3227.txt].
4.- ―Handbook Guidelines for the management of IT evidence HB171:2003‖. (Guía Para El
Manejo De Evidencia En IT), Australia, [http://www.saiglobal.com/PDFTemp/Previews/OSH/
as/misc/handbook/HB171.PDF].
5.- ―Best Practices For Seizing Electronic Evidence v.3 A Pocket Guide for First Responders.
- U.S. Department of Homeland Security United States Secret Service‖. (Mejores Prácticas
para la adquisición de Pruebas electrónicas v. 3 Una guía de Bolsillo para respuesta a un
incidente - Departamento de Seguridad de Homeland Estados Unidos Servicio Secreto),
[http://www.ncjrs.gov/App/publications/Abstract.aspx?id=239359].
27
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
28
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
29
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
30
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
31
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En la Tabla 2.1, se puede apreciar que no se cuenta actualmente con guías y Metodologías
que estén alineadas al contexto Mexicano debido a que:
32
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
De donde en esta tesis se propone una ―Metodología para el Análisis Forense Informático
en Sistemas de Redes y Equipos de Cómputo Personal”, para así afrontar de forma más
adecuada, vanguardista y progresiva, el contexto de los delitos informáticos en México. Para
llegar a lo anterior, se proponen los siguientes:
Objetivo General:
Proponer una Metodología con un enfoque sistémico para el análisis forense informático en
sistemas de redes y equipos de cómputo personal.
Objetivos Particulares:
Conocer el medio ambiente en cuanto a los delitos informáticos, para conocer el
mecanismo de cómo se debe responder ante un eventual ataque informático.
Analizar las Metodologías y estándares en cuanto a evidencia digital se refiere para
efectuar una evaluación y diagnóstico de la situación actual.
Aplicar la metodología propuesta en un caso de estudio real para iniciar la evaluación
de su implementación.
33
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En este Capítulo, se analizó la situación actual al inicio del proyecto de Tesis, para lo cual
se realizó un comparativo entre las Metodologías para la adquisición y estudio de evidencia
digital, para de esta manera efectuar su correspondiente evaluación y diagnóstico.
34
Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 3.-
Desarrollo de la Metodología
Propuesta.
35
Ing. Arturo Palacios Ugalde.
Capítulo 3: Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Con el rápido desarrollo de Internet, todo tipo de usuario es cada vez más dependiente del
uso de redes públicas y privadas, volviendo crítica la protección de la estabilidad de la
infraestructura nacional y mundial que componen la nueva e-economía emergente.
Un Dictamen Pericial es uno de los medios probatorios con más auge en los procesos
civiles, mercantiles y penales, debido al incremento del desarrollo de la ciencia y tecnología
en diversos campos del saber, lo que permite aplicar nuevos métodos de estudio
(metodologías) en la búsqueda de la verdad.
36
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Uno de los grandes problemas con los que nos encontramos al tratar de incorporar estos
hechos al proceso, es el pensar que las pruebas informáticas son fácilmente creadas,
modificadas o destruidas y que por ello difícilmente podrían ser utilizadas en un proceso
judicial. La realidad es que dentro de la Criminalística o Investigación Científica Judicial, se
ha venido desarrollando una nueva disciplina denominada Informática Forense, la cual
tiene como objeto el estudio de la Evidencia Digital.
Es importante aclarar que los Datos o Evidencia Digital, casi siempre estarán almacenados
en un soporte real, como lo son los medios de almacenamiento magnéticos o magneto
ópticos u otros que se encuentran en fase de desarrollo, siendo todos estos de tipo físicos
por lo que este tipo de evidencia es igualmente física.
37
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Son diversas las variantes de los delitos convencionales que por analogía en la forma de su
comisión se han establecido doctrinariamente como delitos de tipo electrónico, como lo son
por ejemplo, el delito de intersección y espionaje de comunicaciones electrónicas,
asimilables a los delitos de intervenciones telefónicas y grabaciones ilícitas.
38
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Ahora bien, para decidir llevar este tipo de hechos por vía de pruebas al proceso judicial, es
necesario contar con una metodología clara, confiable y veraz, la cual se describe en el
presente proyecto de Tesis resultado de un exhaustivo trabajo de investigación.
Dicha metodología toma en cuenta algunas de las buenas prácticas para la realización de
un adecuado peritaje informático, proponiéndose la siguiente ―Metodología para el Análisis
Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal”, que tendría
un foco operacional en cuanto a las cuestiones fundamentales a las que se enfrenta un
perito en informática forense.
Teniendo claro que en una metodología se deben detallar, los procedimientos, técnicas,
actividades y demás estrategias metodológicas requeridas para la investigación. En esta
deberá indicarse el proceso a seguir en la recolección de la información, así como en la
organización, sistematización y análisis de los datos.
39
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Si bien no es algo definitivo e infalible (dependiendo del caso se deberá adecuar el método
a emplear), si constituye un conjunto de normas elementales que ahorran esfuerzo y tiempo.
La misma, será una especie de brújula en la que no se produce automáticamente el saber,
pero que evitará que nos perdamos en el caos aparente del universo de la información que
se maneja hoy en día en los medios informáticos, así como no sucumbir en el embrujo de
nuestros prejuicios predilectos.
40
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Considerando lo anterior, la metodología propuesta (Figura 3.1), tiene como base, tener un
Enfoque Sistémico realizando primero el reconocimiento de la razón que tendría una
intervención pericial; es decir Fase I: Planteamiento del Problema; lo anterior, servirá
como entrada o acceso para poder hacer una Fase II: Identificación a detalle, por medio
de la evaluación de los recursos, alcance y objetivos necesarios para realizar la
investigación y así documentarse de todas las acciones y antecedentes que preceden la
investigación.
A partir de ahí, se estará en posibilidad de tener pleno conocimiento del tipo de evidencia
que se busca preservándola; para posteriormente proceder a realizar la Fase III:
Adquisición de la evidencia, para la obtención de la misma sin alterarla o dañarla; así
mismo, el perito en informática forense deberá autenticar que la información de la evidencia
obtenida sea igual a la original, De esta manera se podrá realizar la Fase IV: Análisis de
Datos e identificar como interactúa la información adquirida del material motivo de estudio o
equipo cuestionado.
41
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
[Fuente Propia].
[Fuente propia].
42
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
43
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Actividad 1.1 Definir Actividad 2.1 Actividad 3.1 Actividad 4.1 Actividad 5.1
adecuadamente el Aseguramiento del Consideraciones Preparación, para Considerar todas y
planteamiento del realizar el análisis cada una de las
material objeto de estudio previas.
problema. correspondiente al caso Actividades, que
y consideraciones de estudio. conforman la presente
generales. Actividad 3.2 Fase, a fin de
Actividad 1.2 Evaluar la cumplimentar lo
Elaboración de la guía Actividad 4.2 Extracción
disponibilidad de los para la obtención de los necesario para estar en
Actividad 2.2 de evidencia.
recursos con los que se datos volátiles. posibilidad de redactar
Evaluación del caso.
cuenta. el documento final.
Actividad 4.3 Extracción
Actividad 3.3 lógica de evidencia.
Elaboración de la guía Actividad 5.2 Analizar y
para la obtención de los considerar todas las
datos no volátiles. Actividad 4.4 Análisis Subactividades, que
de los datos extraídos. conforman la presente
actividad, con el fin de
Actividad 3.4 Plan de elaborar el documento
la investigación para la final.
obtención de datos. Actividad 4.5 Análisis
de tiempo de los
eventos.
Actividad 3.5
Procedimiento para la Actividad 4.6 Análisis
adquisición de la de datos ocultos.
imagen.
[Fuente propia].
44
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
FASE I FASE II
Para cumplir con dicho fin objetivo se sugieren llevar a cabo las siguientes actividades:
Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.
FASE I FASE II
material objeto de estudio, los datos, dónde están localizados y cómo están almacenados.
45
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
FASE I FASE II
Esta es, la fase más importante y crítica de la aplicación de la metodología, puesto que
FASE III FASE IV FASE V
En general, la evidencia deberá poseer las siguientes características para ser considerada
como tal, de acuerdo a los criterios que requiere la autoridad competente actualmente:
Adminisible.
Autentica.
Completa.
Confiable.
Creíble.
Este proceso de adquisición y preservación se debe realizar tan pronto como sea posible.
Siempre que sea posible hay que evitar los cambios en las evidencias y si no se logra,
registrarlo, documentarlo y justificarlo, siempre que sea posible con la autoridad competente
y/o testigos que puedan corroborar las acciones.
46
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
FASE I FASE II
Analizar las evidencias digitales va a depender del tipo de datos a analizar, del tipo de
sistema en el cual se clasifique el dispositivo comprometido (ordenadores, dispositivos
móviles, etc.). Además, en función del tipo de delito (fraude, pornografía infantil, drogas,
etc.) se deberán analizar unos tipos de evidencias y en un determinado orden (el orden
permitirá al investigador forense llegar lo antes posible y de la forma más precisa a las
evidencias digitales para llegar a resolver el delito informático).
47
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
FASE I FASE II
48
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Esto requiere que las acciones del perito en Informática Forense puedan ser reconstruidas
paso a paso con fechas, horas, cuadros y gráficos (el uso de programas como Excel, Word,
PowerPoint, etc.; puede ser de gran ayuda en este punto).
Es importante, más allá de lo que esté escrito en el Dictamen Pericial, que el forense
informático sustente correctamente ante el juez cada tarea realizada en su investigación.
Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la presente
Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el documento
final.
Actividad 5.2 Analizar y considerar todas las Subactividades, que conforman la presente
actividad, con el fin de elaborar el documento final.
Ahora se describe en profundidad cada una de las fases, en cada una de las cuales se
intentará ser lo más genérico posible para poder abarcar el mayor número de tipos de
evidencias posibles (debido a que existen sistemas, software y hardware muy
heterogéneos).
49
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se da por hecho que el receptor de esta metodología sabrá que, dependiendo del tipo de
delito informático, de los sistemas, de los componentes hardware y software involucrados en
el mismo, podrá aplicar o no las distintas actividades que compongan cada Fase.
Para terminar esta introducción a la metodología vale la pena comentar que siempre que
sea posible los pasos deben ser dados con testigos o notarios ó en presencia de la
autoridad competente con el fin de poder corroborar lo realizado por el experto forense.
50
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
FASE I FASE II
3.3.1.0 Introducción.
FASE III FASE IV FASE V
En esta etapa se lleva a cabo la delimitación clara y precisa del objeto de la investigación.
La función del planteamiento del problema consiste entonces en revelarle al perito en
Informática Forense si su proyecto de investigación es viable, dentro de sus tiempos y
recursos disponibles. Por ejemplo, si se le solicita al forense informático que imprima todos
los archivos contenidos en un disco duro con capacidad de un Terabyte, tal Planteamiento
de Problema demandará una cantidad de recursos inconmensurables por lo que se tendrá
que hacer un replanteamiento del problema y acotar para que el análisis sea viable.
De donde el Planteamiento del Problema es una fase que se caracteriza por ser descriptiva,
analítica y objetiva.
Entonces, hay que puntualizar que el perito en Informática Forense deberá ser un experto
en su materia y no tendría por que conocer y/o intervenir en otras áreas del conocimiento
científico (acústica, antropología, medicina, etc.), por lo que se tendrá que tener
precauciones al momento de realizar el Planteamiento del Problema, esto porque al emitir
un dictamen este tendrá que ser ratificado, protestado de decir verdad y defendido ante un
juzgado, en el que se podría tener a un perito (de la contraparte) en una de estas áreas
científicas invadidas por descuido o por desconocimiento de las penas en las que se podría
incurrir por realizar alguna aseveración sin ser especialista en otra área ajena a la nuestra.
51
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En este punto bien cabe citar un ejemplo, al perito en informática forense se le solicita emitir
un dictamen pericial sobre pornografía infantil, si bien por sentido común se tiene la idea de
¿que se tendrá que buscar?, lo idóneo será realizar un replanteamiento del problema
estableciendo un criterio de búsqueda de archivos de imágenes y/o video conteniendo
imágenes al parecer de menores de edad con desnudos de parcial a total, teniendo
relaciones sexuales y/o en escenas de sexo explicito.
Ahora, a continuación, se describen las actividades de esta fase con mayor detallé:
3.3.1.2 Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.
Es a partir de esta fase que el perito en Informática Forense: evaluará la disponibilidad de
los recursos con los que cuenta y los que le serán necesarios, sean estos tangibles o
intangibles como el tiempo, esto es, a partir de esta etapa se estará en posibilidades de
realizar un requerimiento pericial; es decir si lo que se solícita es viable o es demasiado
subjetivo, por ejemplo si lo que se solicita es ―determinar el deterioro de un software‖, se le
podrá solicitar que sea más objetivo el motivo de estudio o cuestionamiento.
Entonces, algunos de los recursos a evaluar dentro de esta actividad serán los siguientes:
Humanos, toda vez que habrá ocasiones en las que se requiera la intervención de
más de un especialista trabajando en el caso objeto de estudio.
53
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Ahora, se presenta la Fase II, de la presente metodología, la cual tiene como fin principal, el
llevar a cabo la identificación del material objeto de estudio, el conocer los datos, donde
están localizados y cómo están almacenados:
54
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Entre las diligencias urgentes, ocupa el primer plano la realización de la inspección ocular a
cargo de la autoridad competente u órgano investigador, para estar en condiciones de
documentar, todo cuanto le corresponde, disponiendo como primera medida que no haya
alteración alguna de todo cuanto se relaciona con el objeto del acto ilícito y el estado del
lugar donde se cometió.
Una vez que la autoridad competente ha adoptado todas las medidas adecuadas para que
no se altere nada relacionado con el objeto del crimen y el estado del lugar donde se
cometió, debe arbitrar los medios para facilitar la inmediata intervención del equipo de sus
auxiliares directos (peritos, policía judicial, policía preventiva, servicio médico forense etc.),
para que sean ellos los primeros en visitar la escena del delito en procurar de los indicios
que les suministraron "los testigos mudos", tendientes a constatar que realmente se ha
cometido un hecho considerado delictuoso por la legislación penal vigente y todo aquello
que conduzca a la positiva identificación de su autor o autores.
Ese equipo de auxiliares del órgano investigador no actúa en forma indiscriminada, sino
siguiendo un ordenamiento, que permita su actuación ponderable y eficaz para alcanzar el
mejor de los resultados.
Perito Fotógrafo: Para documentar fidedignamente todo cuanto se relaciona con el lugar de
los hechos y sus adyacencias, antes de que se toque o remueva nada; porque de lo
contrario, difícilmente se podrán de acuerdo el personal interviniente para determinar que
lugar ocupa cada cosa removida antes de su documentación fotográfica total o en detalle.
Perito Criminalista: Dentro de sus funciones está la de intervenir para tomar por si y verificar
todas las medidas que le permitan confeccionar con exactitud y fidelidad los diversos
croquis que, completándose con la fotografía, brindaran a la autoridad competente y a las
partes, todo cuanto sea de utilidad para alcanzar la verdad en el proceso penal.
Perito en Dactiloscopia: para examinar todos los objetos o lugares idóneos para captar y
preservar las impresiones dactilares producidas por las crestas papilares que se localizan
en los pulpejos de los dedos de las manos, con el fin de identificar científicamente a una
persona. Es conveniente enfatizar que estas impresiones dactilares fueron posiblemente
dejadas por el delincuente y que conducirán a establecer su identidad por medios directos.
56
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Apegarse estrictamente a la cadena de custodia, directrices así como etiquetar todo tal y
como sea removido, conexiones etc.
Figura 3.4 Imagen en la que se ilustra la posible variedad en cuanto, al material a analizar.
Ahora, en la Figura 3.5, se ilustra con un posible ejemplo cómo se identifica al material
objeto de estudio:
57
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 3.5 Ejemplo en el que se presenta, la forma en que se identifica un posible material
objeto de estudio, el cual se describirá a detalle en el respectivo Dictamen Pericial y/o
Documento Final.
Los hechos que rodean el objetivo de la investigación determinarán el método a utilizar, las
cuales se podrán justificar dentro del Dictamen pericial y/o informe en un apartado de
―Consideraciones Técnicas‖.
Cuando se accede al lugar de los hechos o donde presuntamente se haya cometido algún
delito, se deberá mirar todo cuidadosamente, partiendo del hecho de que ya, se hallan fijado
los elementos de interés así como del visto bueno de la autoridad competente, solo así y
haciendo uso de guantes de látex (para preservar toda impresión dactilar, que no se halla
tomado), se estará en condiciones para tomar algún objeto, con el fin de recabar algún dato
relevante tal como: el número de serie del equipo de computo, modelo etc.
58
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Considerar que el lugar de los hechos se clasifican en tres tipos; de acuerdo con sus
condiciones y características pueden ser: lugares cerrados, lugares abiertos y mixtos.
Siempre documentar el lugar de los hechos con tomas fotográficas, a este proceso se le
llama fijación (Figura 3.7). No debe olvidarse que las buenas intenciones no sustituyen a la
experiencia y al adiestramiento.
El registró y documentación fotográfica de una escena del delito y sus adyacencias, debe
hacerse cubriendo las mismas etapas señaladas al hablar de los procedimientos escritos.
Tal operación debe llevarse a cabo desde afuera hacia adentro y en sentido de las agujas
del reloj, en forma piramidal, tratando de documentar todas las etapas cubiertas por el
delincuente.
59
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 3.6 Imagen en la que se presenta a manera de ilustración, un posible lugar de los
hechos.
Las notas que se tomaron y fotografías (de preferencia con una cámara réflex o si es digital
del archivo o archivos se deberán obtener su ―hash‖ (En informática, Hash se refiere a una
función o método para generar claves o llaves que representen de manera casi unívoca a
un documento, registro, archivo, etc.)) o dibujos, juntos forman la primera encuesta sobre el
sitio. Conforme avance la investigación esta información recabada nos dará más pistas
sobre donde poder buscar más evidencias, por ejemplo el mouse se encontró en posición
para zurdos, hora en el sistema bajo estudio, hora en la que se efectúo la diligencia etc.
60
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 3.7 Imagen con la que se ilustra una posible manera de etiquetar las conexiones de
un equipo de cómputo a analizar.
De lo expuesto con antelación se puede colegir que la presente fase permite tener un
panorama general del caso a investigar; por lo que se deben de realizar las acciones que a
continuación reafirmo, presentándolas de forma desglosada y sistematizada para una mejor
apreciación:
61
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La presente actividad se refiere a que todo material que sea considerado como evidencia y
por ende para un posible análisis deberá resguardarse adecuadamente bajo las mas
estrictas medidas de seguridad.
El objetivo principal de esta actividad es evitar que la evidencia original sea alterada por las
personas que intervienen en el lugar de los hechos o bien ajenas a esta.
62
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.3.2.1.2 SubActividad 2.1.2 Tener la capacidad para poder determinar lo que ha sucedido
y reconstruir los hechos.
Para tal fin es imprescindible estudiar el lugar del hecho así como la recolección de todos
los indicios, lo cual es materialmente imposible cuando el sitio del suceso no ha sido
protegido y conservado adecuadamente, por lo que se deberá restringir el acceso al lugar
de los hechos, tanto de personas, como de acceso a otros equipos con el mismo fin que el
anterior.
Esto con el fin de evitar alterar la evidencia por cargas electrostáticas de aquellas personas
que manipulen los equipos o dispositivos. Así mismo será conveniente el contar con bolsas
antiestáticas para un adecuado y seguro embalaje de la evidencia.
Esto con el fin de proveerle a la autoridad competente de una idea general de lo acontecido
y tratar de determinar el tipo de incidente suscitado de acuerdo a la experiencia del
investigador en informática forense, de esta manera el titular de la investigación podrá
determinar el giro que tome la misma.
63
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.3.2.1.6 SubActividad 2.1.6 Considerar todos los componentes que pueden estar
relacionados de alguna forma con la computadora y/o elemento cuestionado.
Se deben considerar todos los elementos relacionados con la especialidad (en el caso
particular Informática), y que forman parte de la cadena de eventos que conducen al hecho
denunciado, ya que con la conjunción de todo el equipo involucrado, se incrementa el área
para realizar la investigación (mayor información aportada al titular de la investigación) y
proporcionar más evidencias durante el caso a investigar.
3.3.2.1.9 SubActividad 2.1.9 Realizar una evaluación de los recursos (en el ámbito de la
información y acceso a la misma, por ejemplo la determinación del origen de un correo
electrónico estará supeditado a la información proporcionada por el proveedor de servicios
de Internet), alcance y objetivos necesarios para realizar la investigación.
64
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
65
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
66
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Tales dispositivos de almacenamiento pueden ser: Discos Duros, Pen drive, memorias,
tarjetas ―Flash‖, ―Zip Disk‖, Discos Ópticos CDs y DVDs, ―Disquettes‖, etc., que se
consideren comprometidos o cuestionados y sean determinados como evidencia, su marca,
modelo, características, seriales, etc.; así como fijarlos fotográficamente.
3.3.2.1.20 SubActividad 2.1.20 Identificar los posibles implicados o funcionarios que tengan
relación con la investigación ó que pudieran aportar mayor información.
En este punto bien cabe la posibilidad de efectuar entrevistas, ya sea con usuarios o
administradores responsables de los sistemas (administradores de red o de servidores de
correo), documentar todo y tratar de lograr un conocimiento total de la situación.
67
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.3.2.1.21 SubActividad 2.1.21 Realizar una recuperación de los ―logs‖ de los equipos de
comunicación y dispositivos de red, involucrados en la topología de la red.
68
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.3.2.2.1 SubActividad 2.2.1 Situar el status del caso que el perito en Informática Forense
investigará.
Aquí se determina qué sentido tomará la investigación, definiéndose si es simplemente la
violación de una política, normas, lineamientos o bien se trate de un delito.
69
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se deben de verificar las políticas de uso de equipos o dispositivos de cómputo así como
manuales operativos, para determinar los perfiles de usuarios y verificar que pueden o no
hacer, así como también, ver quiénes pueden acceder al sistema de manera remota, y con
esto delimitar el área de investigación o determinar otra área para llevarla a cabo. Lo
anterior, se ve claramente en los casos de fraude por desvió de fondos relacionados con
sucursales bancarias en donde para realizar tales movimientos financieros (traslados de
dinero de una cuenta a otra ilícitamente por un empleado del banco) en las cuentas de los
clientes es indispensable que más de una cuenta autorizada para dicho fin intervenga es
decir que para realizar tal acción y por citar un ejemplo se requerirá la cuenta de un cajero
un supervisor, un subgerente y si el monto lo amerita hasta del gerente.
Se debe de determinar donde se ubica la evidencia que se está buscando, por ejemplo si
fue cometido el delito por la extracción de información al acceder de manera indebida un
dispositivo de almacenamiento masivo y extraer información confidencial.
70
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En este punto bien cabe señalar que el perito en Informática Forense cuenta con una amplia
variedad de software del tipo ―Open Source‖ (gratis); esto gracias a que la comunidad de
Internet ha ido desarrollando gran cantidad de herramientas, que pueden equipararse (si no
por separado, si de forma conjunta) a las herramientas comerciales, con unos costes por
licencia al alcance de muy pocos, algunos programas establecidos por el tipo de licencia
GPL (―General Public License‖) son:
Por ejemplo, para ver y analizar la firma de una aplicación computacional se hará uso de un
procedimiento automatizado para la identificación de las posibles evidencias. Una firma de
archivo es un encabezado o un pie de página (o ambos) en un archivo que indica la
aplicación asociada con un archivo típico, es decir, el "tipo" de archivo.
Lo anterior, se muestra haciendo uso de un editor hexadecimal (WinHex) con el fin de hacer
un análisis de la firma de las siguientes aplicaciones, en este caso un documento de Word,
un archivo grafico JPG y un archivo de Adobe Acrobat.
25h 50h 44h 46h, para Adobe Acrobat Reader files (PDF).
D0h CFh 11h E0h A1h B1h 1Ah E1h, para archivos de Microsoft Office.
71
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 3.9 Imagen en la que se ilustra la firma de archivos de acuerdo a su aplicación que lo
generó, para tres archivos.
Las firmas de archivos son útiles para evaluar si un sujeto está tratando de "ocultar
archivos‖, en un plano oculto cambiando las extensiones de archivo. Por ejemplo, renombrar
un gráfico desnudo.jpg a tareas.doc puede ser eficaz para darle clandestinidad a un archivo
ante los curiosos, aunque ingenuo a los ojos de un perito en informática.
72
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.3.2.2.9 SubActividad 2.2.9 Fijar el lugar de los hechos con tomas fotográficas y
grabaciones de diferentes ángulos en el área del lugar de los hechos antes de la
recolección de la evidencia.
Esta acción se hace para verificar en ellas si algo no fue considerado durante la
intervención pericial y además es de utilidad como evidencia de lo encontrado.
3.3.2.2.11 SubActividad 2.2.11 Fijar fotográficamente las conexiones físicas del equipo
motivo de estudio.
73
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Debe de anotarse de manera estructurada la información observable por parte del perito en
informática forense, con la intención de hilar ideas y escribir en el Dictamen pericial lo
observado desde el inicio del proceso de la investigación.
3.3.2.2.15 SubActividad 2.2.15 Documentar la fecha y hora del sistema, para demostrar la
hora en la que se dio inicio a la investigación.
Por ejemplo si se trata de mensajes de correos electrónico checar la zona horaria, está
información cobra relevancia en los casos de algún cateo ó en el caso en el que se discute
la fecha de creación de un archivo.
Se lleva a la práctica para evitar que alguien de manera remota altere la evidencia.
74
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Este punto es muy importante, ya que deben considerarse antes de proceder con la
obtención de información y ver a qué delito corresponde, así como si es del fuero común o
federal.
75
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Recordando que uno de los mayores inconvenientes que presentan los delitos informáticos
es la frecuente extraterritorialidad que traen aparejados, ya que los delitos pueden ser
cometidos por una persona que se encuentra físicamente en un país y los efectos pueden
producirse en otro, instalando interrogantes sobre la autoridad competente para juzgar
dichos delitos.
Se hace con el propósito de verificar que los pasos decididos son correctos, acordes y
justificados con la situación del incidente.
Se orienta a que el forense informático debe documentar los problemas que espera
encontrarse o que obliga a que puedan ocurrir, se podrá incluir en el correspondiente
dictamen un apartado de consideraciones técnicas.
76
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Por ejemplo; cuando el material motivo de estudio es una cuenta de correo electrónico
gratuita (previa autorización del propietario de la cuenta), conviene informar dentro del
Dictamen Pericial que en la creación de la misma no se contó con ninguna medida de
autenticación, con respecto a los datos del creador de dicha cuenta de correo electrónico,
así mismo se deberá informar, que todo aquel que conozca el nombre de usuario y
contraseña podrá ingresar a la misma y por ende modificarla; por último, se deberá poner
del conocimiento a la autoridad competente que tales cuentas de correo electrónico
gratuitas, pierden su vigencia si no se consultan periódicamente, es decir desaparecen.
El producto final de esta fase, debe proporcionarle a la peritación que se está llevando a
cabo, la información que permita definir un punto de inicio para la adquisición de datos y
para la elaboración del documento final.
77
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
FASE I FASE II
3.3.3.0 Introducción.
FASE III FASE IV FASE V
En esta Fase se procede a adquirir la evidencia sin alterarla o dañarla, se autentica que la
información de la evidencia sea igual a la original.
Aquí se juega un papel muy importante durante el proceso legal de la informática forense,
en la que se mantiene la integridad de la evidencia obtenida y se establece la cadena de
custodia para demostrar el manejo que le fue dado a la evidencia digital por parte del
forense informático que realiza la investigación.
Se tendrá que tener especial cuidado en las implicaciones legales al intervenir y obtener
información de un medio electrónico (el Ministerio Público tendrá que dar fe del análisis), así
como el de no alterar los metadatos de la información almacenada.
3.3.3.1.1 SubActividad 3.1.1 Estudiar de la mejor manera posible, las condiciones que
se presentan previas a la adquisición de la evidencia.
• Implicaciones legales de la adquisición de datos, (metodología aplicada en la obtención de
información, para su debida legalidad y autenticidad).
78
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.3.3.1.2 SubActividad 3.1.2 Requisitar por escrito la autorización, para realizar el análisis
forense en informática.
Este punto es recomendable que se tenga resuelto ya sea antes de proceder con la
obtención de la imagen forense o bien antes de empezar con el análisis en vivo sobre el
dispositivo informático cuestionado.
Esta SubActividad tiene como fin el de lograr la plena identificación del material objeto de
estudio, evitando con ésto que se dude de la autenticidad de un equipo, dichas
características deben de anotarse dentro del formato u oficio de la cadena de custodia.
79
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En esta Fase se considera la metodología (métodos y/o técnicas), con la que se llevará a
cabo la adquisición de datos, identificando que es lo más conveniente de acuerdo a las
características del incidente, priorizando la obtención de datos volátiles del dispositivo y
posteriormente aquellos que no lo son.
3.3.3.2 Actividad 3.2 Elaborar la guía para la obtención de los datos volátiles.
Por otro lado mucha información podría perderse si se enciende el equipo, considerando
que el atacante halla modificado el proceso de inicio/apagado con algún ―Script‖ (código que
se ejecuta cuando se enciende o apaga la maquina), para destruir la evidencia.
1. Registros, ―cache‖ (es una parte de la memoria de la memoria principal que se puede
utilizar como buffer (En informática, un ―buffer‖ de datos es una ubicación de la
memoria en una computadora o en un instrumento digital reservada para el
almacenamiento temporal de información digital, mientras que está esperando ser
procesada)para guardar temporalmente los datos transferidos con el disco).
80
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
5. Sesiones abiertas.
6. Configuración de la red.
7. Memoria RAM (RAM son las siglas en ingles de ―random access memory‖, un tipo de
memoria de computadora a la que se puede acceder aleatoriamente; es decir, se
puede acceder a cualquier byte de memoria sin acceder a los bytes precedentes. La
memoria RAM es el tipo de memoria más común en computadoras y otros
dispositivos como impresoras).
9. Estado de la red.
81
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
13. Disco.
Tomándose como base las condiciones presentes del equipo o dispositivos a ser
analizados, se prepara la guía que determinará cuál será la fuente inicial de obtención de
información, misma que tratará de no ser alterada por el perito en Informática Forense y
debe considerar además, que ésta puede variar de un momento a otro por los procesos que
se están ejecutando dentro del equipo o dispositivo.
Cabe señalar que al momento de obtener evidencia de medios magnéticos tales como
discos duros, será indispensable el uso de bloqueadores de escritura con el fin de preservar
y no alterar la evidencia. Esto puede observarse cuando se accede a un archivo y se
modifican sus metadatos tales como la fecha de modificación.
3.3.3.3 Actividad 3.3 Elaborar la guía para la obtención de los datos no volátiles.
1. CPU,monitor, teclado.
7. Discos duros, disquetes, CD y DVD.
8. Memorias Usb.
9. Impresora y escáner.
10. Tarjetas de red, módems, routers, hubs, switch etc.
82
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
El perito en Informática Forense debe seleccionar cuales serán las fuentes de información
con las que iniciará la investigación, dando prioridad a aquellos que considere de mayor
relevancia.
Este plan consiste en descartar la información no relacionada con el incidente para acotar la
búsqueda de la evidencia.
83
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Éste paso es indispensable hacerlo de manera detallada, ya que forma parte del documento
final que tiene como objetivo el análisis y es un elemento esencial para reconstruir el
desarrollo del estudio técnico.
3.3.3.5.2 SubActividad 3.3.2 Determinar los tipos específicos y cantidad de medios de los
cuales se obtendrá la imagen forense (copias bit a bit).
Si existe diferentes dispositivos a los cuales se les obtendrá la imagen se deben etiquetar
correctamente a fin de no cometer errores en el manejo y custodia.
Es indispensable contar con este tipo protección para no alterar la evidencia original y
mantener su integridad, desde el inicio de la investigación.
Este procedimiento nos permitirá corroborar que la imagen forense obtenida es una copia
duplicada bit a bit de la evidencia original. Este valor será guardado en un archivo de
preferencia de texto plano .txt para presentarlo si es requerido.
84
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Antes de que la imagen se deposite en un disco duro es una buena práctica esterilizar o
limpiar esté medio de destino en la computadora forense. Una limpieza forense remueve
cualquier vestigio o contenido previo en el disco duro, asegurando que el abogado de la
defensa no pueda pretender argumentar que cualquiera de las pruebas obtenidas
corresponde a contenidos anteriores en el disco, causado por la mezcla de la evidencia.
Una limpieza forense es diferente a formatear un disco duro. Una limpieza forense puede
lograrse con el comando dd (linux):
La instrucción /dev/zero provee tantos caracteres null (caracteres nulos), (ASCII NUL, 0x00;
no el carácter ASCII "0", 0x30) como se lean desde él.
85
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
El dispositivo lógico / dev / zero es una fuente infinita de ceros. Debido a que hemos
especificado nuestra salida a / dev/hdb1 escribirá una serie de ceros a cada sector de la
primera partición del segundo disco duro IDE. El argumento de BS especifica que dd debe
leer en bloques de 2048 bytes, reemplazando el valor predeterminado de 512 bytes.
Podemos comprobar que el procedimiento fue realizado con éxito utilizando el comando
grep.
# grep –v ‗0‘ /dev/hdb1
―Grep‖ es una utilidad que realiza búsquedas de palabras clave dentro de archivos. Estamos
buscando la cadena "0" en el dispositivo lógico / dev/hdb1. El argumento -v especifica algo
de una búsqueda inversa, es decir, despliega todo lo que aparece en el medio que no sea
‗0‘. Si grep encuentra algo que no es ‗0‘, se imprimirá el resultado en pantalla.
3.3.3.5.8 SubActividad 3.3.8 Asegurar que el medio que almacene la imagen, no sea
utilizado para imágenes posteriores, a menos que se le aplique un procedimiento que
garantice su esterilización.
86
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.3.3.5.9 SubActividad 3.3.9 Crear otra imagen de respaldo, y procurar trabajar sobre está.
3.3.3.5.12 SubActividad 3.3.12 Establecer que cualquier desviación del procedimiento para
la obtención de la imagen ó intervención sobre la evidencia requerirá de la aprobación del
perito en informática forense y ser documentado, es decir que no se puede manipular la
imagen sin autorización del perito en informática responsable.
• Transporte
87
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Existen varios tipos de mecanismos que son utilizados para asegurar el transporte de la
evidencia, debido a que esta debe hacerse en bolsas antiestáticas, aislantes de
comunicaciones y en un buen contenedor para evitar que esta se dañe. Otro punto,
importante para asegurar la evidencia es que se deben mantener bajo un ambiente
específico de humedad y temperatura, si el ambiente es muy cálido, húmedo o frío los
componentes electrónicos y medios magnéticos pueden ser dañados.
88
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
De manera similar a la fase anterior se deberán definir criterios de búsqueda con objetivos
claros, debido a la gran cantidad de información disponible, que nos pueda desviar la
atención o sencillamente complicar el proceso de análisis de la información.
Esta fase permite determinar las causas que originaron un incidente informático y debe ser
documentada en todas sus partes, para reconstruir las veces que sea necesaria la forma en
la que se encontró o encontraron las evidencias digitales. Es importante mencionar que está
es una metodología general en la que se contemplan de manera global cada uno de los
pasos que deben ser considerados durante esta fase, ya que para realizar el análisis
específico de cada tipo de estructura de archivos y/o sistemas operativos, dispositivos de
almacenamiento, discos compactos CD y DVD, memorias USB, etc. deben elaborarse
metodologías específicas para cada uno de ellos.
89
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Una buena práctica a llevar a cabo es la de utilizar la copia del segundo original, a su vez el
segundo original preservarlo manteniendo un buen uso de la cadena de custodia.
Así mismo, antes de iniciar con la fase de análisis, se recomienda se tenga la cantidad de
copias necesarias para la realización de todas las pruebas necesarias que requiera la
investigación.
3.3.4.1.2 SubActividad 4.1.2 Determinar el alcance del incidente, la extensión del daño
originado por él así como la naturaleza del mismo.
Disponer de una estrategia de respuesta, que permita abordar el problema de manera clara
y precisa.
3.3.4.1.3 SubActividad 4.1.3 Evitar lo más que se pueda el uso de la computadora si está
se encuentra encendida y/o evaluar si conviene realizar el análisis de evidencia digital en
vivo y/o post-mortem (apagado).
Un análisis en vivo es aquel que utiliza el sistema operativo u otros recursos del sistema
investigado para encontrar pruebas. Un análisis post-mortem es aquel que utiliza
aplicaciones de confianza en un entorno seguro para encontrar pruebas, es decir es el
análisis que se realiza con un equipo dedicado específicamente para fines forenses para
examinar discos duros, datos o cualquier tipo de información recabada de un sistema que
ha sufrido un incidente.
90
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Con un análisis en vivo es posible obtener información falsa, ya que el sistema podría estar
ocultando o falsificando maliciosamente la información (utilizando algún tipo de ―rootkit‖, por
ejemplo).
Es importante tener presente que un ―rootkit‖ es una herramienta (algún tipo de código de
programa), o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder
otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten
al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer
información sensible.
91
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En informática, el espacio de intercambio es una zona del disco (un archivo ó partición) que
se usa para guardar las imágenes (procesos temporales) de los procesos que no han de
mantenerse en memoria física (permite hacer creer a los programas que tienen más
memoria (RAM) que la que disponen realmente). A este espacio se le suele llamar swap, del
inglés "intercambiar", (por lo que al apagar la maquina este espacio se elimina, acompañado
de su información).
92
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.3.4.1.10 SubActividad 4.1.10 Determinar si los archivos no tienen algún tipo de cifrado.
Con base a toda la información previa, se debe seleccionar el área de trabajo bajo la cual se
iniciará el análisis, considerando el tamaño de la información a analizar.
Una vez que se cuenta con la imagen Forense de la evidencia digital adquirida, se estará en
condiciones de explorar y obtener ó desechar, lo que motiva la intervención del perito en
Informática Forense.
93
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.3.4.2.3 SubActividad 4.2.3 Identificar y recuperar los datos en los dispositivos físicos.
Esto es, obtener las características físicas del dispositivo a ser analizado, para que
posteriormente sean verificadas, por ejemplo, capacidad de almacenamiento, número de
serie, etc.
3.3.4.2.6 SubActividad 4.2.6 Identificar y recuperar los archivos objetivo (determinados por
algunos criterios, ejemplo aquellos que han sido afectados por el incidente).
Y si se quiere comparar su hash (archivos del sistema operativo y/o aplicaciones) con los
hash de archivos que nos facilita la http://www.nsrl.nist.gov/, o sítios como:
94
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
http://www.wotsit.org/
http://www.processlibrary.com/
Es importante señalar que una vez que ubicamos un archivo de sistema y que se tenga la
duda de que se encuentre alterado o que sea el oficial y legítimo publicado por la fuente
oficial, la solución por ejemplo será el revisar el Hash MD5 que es publicado por la empresa
o desarrollador de software que publica el archivo, y compararlo contra el Hash MD5 que
una herramienta calcule con base al archivo que nosotros bajamos (existen varias en
Internet).
3.3.4.3.4 SubActividad 4.3.4 Extraer la información del sistema de archivos, para revelar
las características de la estructura de directorios, atributos, nombres, estampas de tiempo,
tamaño y localización de archivos.
95
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Igual sucede con el ―file slack‖( El espacio de almacenamiento de datos que existe desde el
final del archivo hasta el final del cluster se llama "file slack", los sistemas basados en DOS,
Windows 95/98/ME/XP y Windows NT/2000 almacenan los archivos en bloques de tamaño
fijo llamados ―clusters‖, en los cuales raramente el tamaño de los archivos coinciden
perfectamente con el tamaño de uno o muchos ―clusters‖), asociado al archivo antes de que
éste fuera borrado. Consecuentemente, siguen existiendo los datos, escondidos pero
presentes, y pueden ser detectados mediante herramientas de software para el análisis
forense informático.
3.3.4.3.8 SubActividad 4.3.8 Utilizar software enfocado al análisis forense informático con
el fin de extraer la información del “file slack”.
Desde un punto de vista de la investigación, el ―file slack‖ es un entorno rico para encontrar
pistas y evidencia.
Por ejemplo el ―file slack‖ puede contener pistas y evidencia en forma de fragmentos de
procesador de palabras, correo electrónico, chats en Internet, noticias de Internet y la
actividad de navegación por Internet.
Los sistemas basados en DOS, Windows 95/98/ME/XP y Windows NT/2000 almacenan los
archivos en bloques de tamaño fijo llamados clusters, en los cuales raramente el tamaño de
los archivos coinciden perfectamente con el tamaño de uno o muchos clusters.
El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final
del cluster se llama "file slack". Los tamaños de los clusters varían en longitud dependiendo
del sistema operativo involucrado y, en el caso de Windows 95/98/ME/XP, del tamaño de la
partición lógica implicada.
Un tamaño más grande en los ―clusters‖ significan más ―file slack‖ y también mayor pérdida
de espacio de almacenamiento. Sin embargo, esta debilidad de la seguridad del
computador crea ventajas para el investigador forense, porque el ―file slack‖ es una fuente
significativa de evidencia y pistas.
Los sistemas operativos Microsoft Windows utilizan un archivo especial como un "cuaderno
de apuntes" para escribir datos cuando se necesita memoria de acceso aleatorio adicional.
97
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
El tamaño de estos archivos puede extenderse desde 20MB a 200MB, el potencial de estos
es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes
electrónicos, la actividad en Internet (cookies, etc), ―logs‖ de entradas a bases de datos y de
casi cualquier otro trabajo que haya ocurrido durante las últimas sesiones. Todo ésto,
genera un problema de seguridad, porque el usuario del computador nunca es informado de
este almacenamiento transparente.
98
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La evidencia es todo aquello que pueda convertirse en una prueba que constate un hecho
de lo ocurrido, por lo que el perito en Informática Forense debe saber diferenciar entre una
evidencia y un dato.
99
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Documentar estos metadatos de los archivos bajo estudio (de interés para la presente
investigación), con el fin de correlacionar los eventos y demostrar con ello la creación,
modificación y último acceso.
Con esta información el perito en informática forense podrá establecer una línea del tiempo.
Efectuar un exhaustivo análisis a Archivos de sistema, por ejemplo el archivo SAM en Win
NT/2000/XP.
3.3.4.7.2 SubActividad 4.7.2 Efectuar una revisión de nombres de archivos para determinar
su relevancia.
Tratar de obtener información adicional, basada en el nombre de los archivos bajo estudio.
3.3.4.7.4 SubActividad 4.7.4 Determinar el tipo del sistema operativo y/o sistema de
archivos.
De acuerdo al material motivo de estudio y contando con la herramienta adecuada el perito
determinara el sistema de archivos en el que se encuentra éste.
Por ejemplo la mayoría de los equipos de computo con Windows XP se encuentra bajo el
sistema de archivos NTFS (NTFS (NT ―File System‖) es un sistema de archivos de Windows
NT incluido en las versiones de Windows 2000, Windows XP, Windows Server 2003,
Windows Server 2008, Windows Vista y Windows 7), Linux se encuentra en Ext3/Ext4
(―fourth extended filesystem‖ o cuarto sistema de archivos extendido), etc.
101
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La importancia de esto radica en que una maquina en NTFS no puede visualizar particiones
de Linux, pero Linux si puede visualizar particiones de Windows.
Determinar, si los archivos creados por el usuario del equipo de computo motivo de estudio,
corresponden con el software instalado en el mismo.
102
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Una cookie es un fragmento de información que se almacena en el disco duro del visitante
de una página web (dirección electrónica que visita el usuario), a través de su navegador, a
petición del servidor de la página. Esta información puede ser luego recuperada por el
servidor en posteriores visitas. En ocasiones también se le llama "huella".
Por lo anterior, las cookies proporcionan importante información, la cual puede tener
relación con los hechos que se investigan, en la figura 3.10 se muestra la obtención de las
cookies con el programa ―WinTaylor 2.1 for Caine‖, para su posterior análisis.
103
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 3.10 Salida tipo pantalla, en la que se muestra el análisis al archivo Index.dat, con el
fin de mostrar las cookies almacenadas en éste.
El análisis efectuado en la figura 3.10, fue obtenido como se dijo antes, utilizando
―WinTaylor 2.1 for Caine‖, el cual es un software forense gratuito [http://www.caine-live.net/],
existen varias versiones.
104
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Tales como: Servidores Web, ―Firewall‖, IDS‘s (Intrusion Detection System, es un programa
usado para detectar accesos no autorizados a un computador o a una red), IPS‘s (Intrusion
Prevention Systems), éstos combinan múltiples funcionalidades, como: Firewall, IDS, y
detección de anomalías de protocolo, antivirus, valoración de vulnerabilidades, filtrado de
contenidos, etc., ―Proxys‖, Filtros de Contenido, Analizadores de Red, Servidores de ―Logs‖,
etc., que están en la Red, con la finalidad de recuperar los ―Logs‖ que se han tomado como
parte de la gestión de red.
105
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
FASE I FASE II
3.3.5.0 Introducción.
Es la fase final y la más delicada e importante la cual será el documento que sustentará una
prueba en un proceso legal.
Es la Fase que tiene como fin la presentación y entrega de los resultados obtenidos de la
investigación del análisis forense informático. La claridad con la que se presente el
resultado de la investigación, marcará la diferencia entre si es aceptada la evidencia o no en
un proceso legal, debiendo evitarse al máximo los tecnicismos en su redacción, esto es el
Dictamen Pericial deberá ser concreto, libre de jerga propia de la disciplina, pedagógico y
sobre manera, consistente con los hechos y resultados obtenidos.
Los especialistas en el análisis forense informático que apoyan las labores en el ciclo de
administración de la evidencia digital no deben contar con altos niveles de ética, sino con
los más altos estándares y niveles de ética, pues en ellos recaen los conceptos sobre los
cuales el juez toma sus decisiones.
106
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3.3.5.1 Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la
presente Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el
documento final.
De acuerdo al caso bajo estudio, nivel de complejidad y/o al criterio del perito en informática
forense, la elaboración del documento final (llámesele Dictamen ó Reporte técnico), se
realizará en estricto apego a las actividades que conforman la presente Fase.
3.3.5.1.1 SubActividad 5.1.1 Definir las secciones (estructura) del cuerpo del documento
final.
3.3.5.1.2 SubActividad 5.1.2 Explicar claramente el objetivo del Dictamen Pericial y motivo
por el cual se realizo determinado estudio.
107
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
averiguación previa o si se contó con el apoyo de cualquier otra persona a efecto de llevar a
cabo el estudio correspondiente. De igual manera será importante señalar si la autoridad
competente o el titular de la investigación gira alguna instrucción específica no obstante que
se le haya advertido de los riesgos que se corren al ejecutar tal instrucción.
3.3.5.1.5 SubActividad 5.1.5 Incluir un apartado con la ―Identificación del material objeto de
estudio‖, (descripción a detalle del material objeto de estudio).
En el cual se especifique por ejemplo el tipo de equipo, marca, modelo, numero de serie y/o
inventario, alguna observación tal como si se encuentra en buen estado ó si se encuentra
funcionando, así como si se encuentra rotulado con alguna leyenda escrita, por ejemplo
esto último es típico en los discos compactos CD/DVD.
108
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Recordando que todo procedimiento deberá ser repetible y verificable (por otro
investigador). Incluir irregularidades encontradas o cualquier acción que pudiese ser
irregular durante el análisis de la evidencia.
La intervención pericial emite una conclusión que viene formulada sobre concretos datos
arrojados por el estudio técnico, por lo que en esté apartado, se escriben la ó las
conclusiones a las que se ha llegado de una manera clara, corta y objetiva.
Evitar los juicios de valor o afirmaciones no verificables, utilizar palabras simples, no las
rebuscadas, evitarse las redundancias.
Se pueden emplear términos técnicos necesarios, pero siempre de una forma clara y
simple, pensando en quien va a recibir el documento final producto de la presente
metodología.
109
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
De igual manera no olvidar incluir en el cuerpo del Dictamen, todas las personas que de
alguna manera intervinieron en el caso bajo estudio (por ejemplo durante la realización de
un cateo, interviene una gran variedad de personal tales como: peritos, policía judicial y
ministerio público, entre otros), incluyendo sus cargos y las responsabilidades durante toda
la investigación.
3.3.5.2 Actividad 5.2 Analizar y considerar todas las subactividades, que conforman la
presente actividad, con el fin de elaborar el documento final.
3.3.5.2.1 SubActividad 5.2.1 Explicar los resultados del análisis, donde se detallen con
claridad los hallazgos.
Es indispensable que los hallazgos sobre la evidencia y/o resultados del análisis sean
vertidos dentro del apartado correspondiente al estudio técnico en donde se desarrollarán a
detalle todos y cada uno de los procedimientos efectuados para su obtención.
Esta bitácora podrá ser manejada como un anexo, en el cual se muestre a detalle los
procedimientos y/o métodos aplicados a los elementos objeto de estudio.
3.3.5.2.3 SubActividad 5.2.3 Cumplir con exhaustivo cuidado con los procedimientos
previstos para el mantenimiento de la cadena de custodia.
Es recomendable que todo elemento objeto de estudio que se reciba o se entregue sea
acompañado con un oficio en el que se especifiquen los elementos que se reciben y/o se
entregan así como también se obtenga la firma de la persona que reciba dicho oficio,
110
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
acompañado de los elementos objeto de estudio, no está por demás decir que en dicho
oficio se detallaran las características de los elementos objeto de estudio.
3.3.5.2.4 SubActividad 5.2.4 Contar con todos los oficios recibidos y/o utilizados durante
toda la investigación.
Se deberá justificar y explicar el porqué del uso de alguna herramienta, sea ésta informática
(software) o electrónica así como su función dentro de la investigación.
SubActividad 5.2.6 Citar a las pruebas, de una manera concreta con el fin de hacer
entendible la conclusión.
Esto se hará, sin dar excesivos detalles acerca de cómo se obtuvieron estas, este tipo de
información es recomendable citarla en el apartado del estudio técnico.
3.3.5.2.7 SubActividad 5.2.7 Proporcionar una lista completa de todos los documentos
justificativos o de apoyo.
111
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Cabe señalar que en muchas ocasiones habrá averiguaciones previas que estén
relacionadas con otras y cada una de ellas podrá estar constituida por varios volúmenes ó
tomos, por lo que cobra relevancia el tener documentado a que foja se toma alguna
información ó elemento de estudio, esto último por ejemplo cuando a determinada foja se
hace referencia a un portal de Internet ó dirección electrónica.
3.3.5.2.8 SubActividad 5.2.8 Incluir antes de la firma del autor o autores, una nota
aclaratoria en la que se especifique que se entrega el material objeto de estudio de la
misma forma en la que se recibió.
Esta nota aclaratoria es de suma importancia ya que muchas veces se entrega tanto el
Dictamen Pericial como el equipo bajo estudio al correspondiente resguardante y este último
no toma las medidas cautelares necesarias, teniendo como resultado el daño del equipo o
la pérdida del mismo, por lo que ante la ausencia de esta nota aclaratoria el único
responsable sería el perito en informática forense por no prever tal situación.
SubActividad 5.2.9 Obtener siempre un acuse de recibido del Dictamen Pericial, producto
de la aplicación de la presente metodología.
Lo anterior, a efecto de poder corroborar la entrega y recepción del Documento Final
producto de esta metodología, por lo general firmado por la autoridad competente y titular
de la investigación, especificando en el mismo que se recibe el material objeto de estudio,
fecha, hora y nombre de quien lo recibe.
Es importante aclarar que la persona que reciba tal documento, deberá indicar que lo que
está recibiendo es un Dictamen ó un Informe.
3.3.5.2.10 SubActividad 5.2.10 Realizar cualquier observación, dentro del documento final
antes de estampar la rúbrica (con el fin, de evitar que se invalide tal observación), se
recomienda firmar al margen todas y cada una de las fojas que constituyan el Documento
Final.
112
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Siempre que se tenga algún tipo de observación ó detalle respecto a la investigación, tal
como: la entrega de algún anexo (llámesele disco compacto y/o tomas fotográficas, etc.),
alguna aclaración respecto a la entrega del Dictamen (retardo y/o evento circunstancial).
En lo que se refiere a la redacción del Dictamen evitar dejar espacios en blanco (en
particular grandes) y firmar al margen todas y cada una de la fojas que constituyan el
Dictamen, producto de la presente metodología.
113
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
114
Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 4.-
Aplicación de la Metodología Propuesta
en un Caso de Estudio:
Localización de un archivo con
información específica.
115
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Estudio:
Recordando que tal y como se estableció en el Capítulo anterior, dependerá del caso
de estudio; así como del criterio del perito en informática forense, el aplicar ó no
todas y cada una de las actividades y subfases que conforman la presente
metodología propuesta.
Resultados obtenidos:
Este otro icono, servirá para presentar los resultados obtenidos de dicha Actividad
en su aplicación en el caso práctico, en algunos casos también será usado para
identificación de la forma en que fue aplicada la Actividad o Fase.
116
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
FASE II
Durante esta Fase se le presenta al forense informático de una manera clara y precisa el
objeto de la investigación, siendo por lo tanto la Fase que determinara la viabilidad del
Análisis, ya que como se trató en el capitulo anterior, de acuerdo a la forma en que se
plantea el problema se estará en posibilidades de intervenir en dicho caso a investigar o no.
117
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para la presente actividad se recomienda se le haga una toma fotográfica al oficio, haciendo
énfasis en la parte donde se realiza la petición del tipo de análisis o bien se proceda como a
continuación:
Para el presente caso hipotético se tiene el siguiente Planteamiento del Problema: A la letra
dice: ―…localizar archivos de texto con Información Bancaria…‖
Una vez definido el planteamiento del problema, ahora se tiene que:
Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.
Se evalúa la disponibilidad de los recursos con los que se cuenta, sean estos Temporales,
Humanos, Materiales u Organizacionales.
En el presente caso práctico se hizo uso de una herramienta para desmontar el disco duro
de la computadora objeto de estudio, un bloqueador de escritura para el disco duro,
software forense para obtener la imagen del disco duro, así como su ―Hash‖ (En informática:
Hash, se refiere a una función o método para generar claves o llaves que representen de
manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato),
un disco duro limpio o esterilizado para respaldar la correspondiente imagen y un equipo de
cómputo para la realización de su respectivo análisis, para el presente caso con la
participación de un sólo especialista será suficiente.
118
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
119
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Con el fin de llevar a cabo una adecuada intervención pericial en informática forense: es
necesario, conocer previamente el material objeto de estudio.
120
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el presente caso de estudio el CPU, cuestionado y bajo análisis tiene las siguientes
características:
Es importante tomar en cuenta que un CPU almacena su información a través de sus discos
duros, por lo que será necesario identificar dicho elemento como se ejemplifica en la
siguiente figura:
121
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.2 Identificación del disco duro asociado al material objeto de estudio.
Evitar que la evidencia original sea alterada por las personas que intervienen en el lugar de
los hechos.
122
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Derivado de que para el presente caso materia de estudio, se da por hecho que el equipo
se encuentra ya a disposición de la autoridad competente (en otra área distinta al lugar de
los hechos), la presente actividad no aplica en el presente caso motivo de estudio.
Tomando en cuenta que para el presente caso materia de estudio, se da por hecho que el
equipo se encuentra ya a disposición de la autoridad competente (en otra área distinta al
lugar de los hechos), la presente actividad no aplica en el presente caso motivo de estudio.
123
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Corroborar con el titular de la investigación que se haya preservado toda impresión dactilar,
no obstante se tendrá que tomar cualquier parte del equipo objeto de estudio con el debido
cuidado y haciendo uso de guantes de látex con el fin de evitar contaminar los equipos o
dispositivos a ser investigados.
Se recomienda el uso de brazaletes antiestáticos, para evitar alterar la evidencia por cargas
electrostáticas.
Para el presente caso de estudio se hizo uso de brazaletes antiestáticos, con el fin de evitar
alterar la evidencia por cargas electrostáticas por la manipulación de los equipos o
dispositivos. Así mismo, se contó con bolsas antiestáticas para el adecuado y seguro
embalaje de la evidencia.
124
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el presente punto se determinará la ocurrencia de cualquier otro incidente y/o detalle
que se observe del material objeto de estudio, por ejemplo: si el equipo muestra evidencia
de que haya sido abierto (marcas de herramienta), si derivado de la inspección del interior
del gabinete del CPU se observa algo inusual (por ejemplo, ausencia de polvo por el uso
normal en algunas áreas); cualquier anomalía y/o detalle inusual observable se le informará
por escrito al titular de la investigación.
Para el presente caso se hará hincapié en que el equipo tiene marcas propias de uso.
SubActividad 2.1.6 Considerar todos los componentes que pueden estar relacionados
de alguna forma con la computadora y/o elemento cuestionado.
125
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se le dio parte al titular de la investigación sobre la falta del cable de datos para conectar el
disco duro (en el presente caso se trata de un disco SATA), así como se informo el tiempo
estimado para el análisis del presente disco duro objeto de estudio.
Evitar que la evidencia se altere por el mal manejo de está, así como el de no tenerlos en
tiempo y forma.
126
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Determinar si se cuenta con los elementos mínimos necesarios (en cuanto a información y
acceso a la misma), para llevar a cabo la investigación.
Para el presente caso bajo estudio, la aplicación de esta actividad no aplica, ya que se
considera que se cuenta con el elemento indispensable para darle el debido cumplimiento a
lo requerido por la autoridad competente, que en el presente caso es el disco duro de la
computadora cuestionada.
127
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el presente caso, objeto de análisis, la aplicación de esta actividad no aplica, ya que se
considera que se cuenta con los elementos técnicos necesarios para dar el debido
cumplimiento a lo requerido por la autoridad competente.
128
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
129
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En el presente caso objeto de estudio, la aplicación de esta actividad no aplica, toda vez
que se da por hecho que se cuenta con la documentación que habilita legalmente la
intervención del perito.
130
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Identificar la relevancia que guarda el manejar cierto tipo de información (cuentas bancarias,
de gobierno etc.).
131
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el presente, planteamiento del problema que se tiene por objeto de estudio, la
aplicación de esta actividad no aplica.
Se identifican los elementos más importantes dentro de una red de computadoras y que
pudieran aportar alguna información a la investigación.
132
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Identificar los elementos que puedan aportar información relacionada a los hechos que se
investigan y que motiva el caso objeto de estudio.
Figura 4.3 Fijación Fotográfica del material objeto de estudio, teniendo mayor relevancia
para el presente caso el disco duro asociado a la computadora cuestionada, toda vez que
es el elemento en donde se almacena toda la información procesada.
133
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Con el fin de obtener mayor información relacionada con los hechos que se investigan,
hacer uso de entrevistas, ya sea con usuarios o administradores responsables de los
sistemas.
134
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
135
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
136
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Documentarlo detalladamente.
Para el presente objeto de análisis, el empleo de esta actividad no aplica, toda vez que se
dio por hecho que el equipo asegurado se recibió para su estudio directamente de la
autoridad competente.
137
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Documentar turno, personal y área jurisdiccional (por ejemplo Delegación ó el nombre del
Ministerio Público).
138
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
SubActividad 2.2.1 Situar el status del caso, que el perito en informática forense
investigará.
Para el presente asunto bajo estudio, la aplicación de esta actividad no aplica, ya que el
Planteamiento del Problema es puntual y objetivo: ―Buscar información Bancaria‖.
Tener bien claro el tipo de evidencia que se va a manejar, por ejemplo hacer la diferencia
entre un chip y una micro memoria para equipo fotográfico.
Recabar información con las personas relacionadas con el caso para posteriormente
documentar las respuestas recabadas y relacionarlas con la evidencia obtenida.
140
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Verificar los lineamientos de las políticas de uso de equipos, de igual manera considerar los
manuales operativos institucionales con el fin de obtener mayor información.
141
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Localización lógica o física de la evidencia digital, que tenga que ver con los hechos que se
investigan.
Figura 4.4 Una vez que se tuvo identificado plenamente al elemento base (fuente de
información), para realizar su análisis correspondiente, se procedió a colocarle un
bloqueador de escritura.
142
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
143
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el caso particular bajo estudio, no aplica la presente actividad, por el hecho de no ser
un caso urgente, así como considerar que el volumen de información manejada como
evidencia es poca (dos archivos de texto).
SubActividad 2.2.9 Fijar el lugar de los hechos con tomas fotográficas y grabaciones
de diferentes ángulos en el área del lugar de los hechos antes de la recolección de la
evidencia.
Realizar tomas fotográficas y/o grabaciones del lugar de los hechos ó escena del delito.
Derivado que para el presenta caso motivo de estudio se da por hecho que el material para
análisis es puesto a la vista por la autoridad competente y que esté (material ó equipo
cuestionado), ya fue asegurado (sustraído) de la escena del delito y por ende ya fue fijado el
lugar de los hechos, razón por la cual se aplica la presente actividad de manera parcial, es
decir para el presente proyecto se fijo el material de estudio únicamente.
144
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el presente caso motivo de estudio, el empleo de esta actividad no aplica, ya que el
material objeto de estudio, fue recibido a través de la autoridad competente y para el
presente caso se consideró que se recibió únicamente el gabinete de la computadora (sin
cables, monitor, teclado etc.).
SubActividad 2.2.11 Fijar fotográficamente las conexiones físicas del equipo motivo
de estudio.
Realizar tomas fotográficas del arreglo de las conexiones del equipo ó equipos
cuestionados.
Para darle respuesta al presente problema planteado, el uso de esta actividad no aplica, ya
que para el caso bajo estudio no se consideró ir al lugar de los hechos ó lugar donde se
aseguro el equipo de cómputo, (el gabinete objeto de estudio, lo presento la autoridad
competente).
145
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Debe registrarse toda la información útil observable y que puede en un momento dado ser
necesaria, en el desarrollo de la investigación.
Se procede a documentar datos importantes como la unidad con que fue identificado por el
equipo al que se conecto, etiqueta del volumen, el número de serie lógico del volumen
(disco duro), así como el sistema de archivos en el que se encuentra la información
almacenada en el disco duro objeto de estudio, con el propósito de dejar en claro el escrito
final, resultante del estudio realizado.
Figura 4.5 Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖) con la que fue detectado
el disco duro, asociado al material objeto de estudio.
146
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.6 Salida tipo pantalla en la que se ilustra el número de serie lógico del volumen
(―#L##-###L‖).
En el caso bajo análisis, el empleo de esta actividad no aplica, ya que se consideró que el
equipo se recibió apagado.
147
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el presente caso motivo de estudio, esta actividad no aplica, toda vez que no forma parte del
Planteamiento del Problema.
SubActividad 2.2.15 Documentar la fecha y hora del sistema, para demostrar la hora
en la que se dio inicio a la investigación.
Para el presente caso motivo de estudio, esta actividad no aplica, ya que el equipo se
recibió apagado.
148
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el presente caso motivo de estudio, la actividad no se aplica, debido a que el equipo
de cómputo se recibió apagado.
149
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Ver las necesidades que enfrenta el investigador, a efecto de poder desahogar en tiempo y
forma el Problema Planteado.
Para el presente caso motivo de estudio, el empleo de esta actividad no aplica, ya que para
el presente caso motivo de estudio, ya se cuentan con los elementos necesarios para darle
respuesta.
Tener presente las implicaciones legales que tiene cualquier tipo de intervención pericial.
150
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el presente caso motivo de estudio, esta actividad no se aplica, ya que en la presente
investigación se tiene el supuesto de que la autoridad competente es quien habilita ó hace
legal la presente intervención pericial. La presente actividad será útil, cuando se acude a la
escena del delito como por ejemplo en un cateo, en un lugar donde se falsifiquen
documentos públicos y/o privados.
Para el presente caso motivo de estudio, esta actividad no se aplica, ya que por la falta de
complejidad del presente caso, se considero innecesario.
Verificar que los pasos decididos son correctos, acordes y justificados con la situación del
incidente.
151
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Documentar los problemas que se espera encontrar o que obliga a que puedan ocurrir, se
podrá incluir en el correspondiente dictamen un apartado de consideraciones técnicas.
Para el presente caso motivo de estudio, esta actividad no se emplea, ya que la presente
intervención pericial se efectuó en estricto apego a la legalidad (recordando que caso bajo
estudio es hipotético), y para el caso no se consideran mayores complicaciones.
152
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
FASE I FASE II
Se tendrá que tener especial cuidado al realizar una intervención pericial y obtener
información de un medio electrónico así como el de no alterar los metadatos de la
información almacenada (conservar intacta la información digital), es de recalcar que
siempre se deberán tener presentes las implicaciones legales al intervenir y obtener
información de un medio electrónico.
153
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Por lo que se refiere al presente caso objeto de estudio, la aplicación de esta actividad se ve
reflejada en el hecho de que para efectos del mismo, se da por hecho que un representante
de la autoridad competente dio fe del análisis efectuado (es decir estuvo presente), de igual
forma se da por hecho que se cuenta con los oficios que habilitan y permiten el presente
estudio.
154
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
SubActividad 3.1.2 Requisitar por escrito la autorización para realizar el análisis forense en
informática.
Obtener la autorización por escrito para la intervención pericial, sea ésta por parte de la
autoridad competente (por ejemplo: a través del Agente del Ministerio Público).
A efectos del presente caso motivo de estudio, la aplicación de esta actividad se da por
hecho, esto debido a las consideraciones que se han venido tomando en el presente trabajo
tales como, que el equipo a ser analizado fue asegurado por una autoridad y esta a su vez
la entrego para su análisis al perito en informática forense.
Lograr la plena identificación del material objeto de estudio, evitando con ésto que se dude
de la autenticidad de un equipo.
En el caso particular del presente caso motivo de estudio, la aplicación de esta actividad se
ve implícita en el desarrollo del estudio técnico que se le efectúa al material objeto de
estudio, ya que en el mismo se documento las características técnicas de la unidad de disco
155
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
duro cuando este fue montado a otra computadora (en el ―argot‖, esto se refiere a que el
disco se conecto a otra computadora).
Metodología aplicada, con la que se llevará a cabo la adquisición de los datos, identificando
que es lo más conveniente de acuerdo a las características del incidente ó material objeto
de estudio.
3. Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con
base en la lógica formal.
156
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
A efectos del presente análisis, esta actividad no se aplica, toda vez que se tuvo acceso al
material objeto de estudio (computadora), cuando esta ya estaba apagada por lo que se
procedió a efectuar su análisis, directamente sobre su disco duro.
Para el presente caso se seleccionó como fuente de información principal al disco duro
asociado a la computadora objeto de estudio (ver Figura 4.4).
157
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se elige el software para adquirir la imagen (copia bit a bit) de la evidencia digital y se
establece la forma (tamaño de archivos generados al obtener la correspondiente imagen,
por ejemplo archivos de 700 MB para guardarlos en CDs), en la que se adquirirá la imagen
forense, copia bit a bit del disco duro, objeto de estudio, así mismo si el caso de estudio así
lo amerita se obtendrá el ―Hash‖ de la imagen adquirida.
158
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Luego de haber realizado una somera revisión y con el fin de agilizar el análisis así como
ahorrar en espacio de almacenamiento (recalcando en este punto el uso del protector contra
escritura), se opto por obtener la imagen de una parte del disco duro.
Una vez identificado el material objeto de estudio y con el fin de ilustrar el procedimiento de
obtención de la imagen forense del disco duro objeto de estudio, primeramente se
presentan las siguientes pantallas en las que se muestra tal proceso de obtención:
Figura 4.7 Como primer paso se tuvo que montar el Disco Duro al Software.
159
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Archivo Borrado y
visualizado en FTK
Imager.
Figura 4.8 Salida tipo pantalla en la que se observa el contenido del disco a través del
software forense AccessData FTK Imager.
Así mismo se observa como este programa permite una vista previa de los archivos
almacenados en el disco duro, incluso los eliminados.
160
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.9 Salida tipo pantalla en la que se ilustra el ingreso de los datos del caso de
estudio.
161
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se le indican al
software forense, el destino de la imagen.
162
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Como se hizo referencia en líneas anteriores, para el presente estudio se opto por adquirir
la imagen de una sección de información (carpeta ―Documents and Settings‖), del disco duro
objeto de estudio, por lo que a continuación se presentan las pantallas que ilustran este
procedimiento personalizado:
163
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Una vez que se montó el disco duro objeto de estudio (se adicionó como evidencia en el
software), se seleccionó la carpeta ―Documents and Settings‖, para lo que posteriormente se
seleccionó la opción ―Export Logical Image (AD1)‖, procedimiento que se muestra en la
siguiente Figura:
Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de la carpeta
―Documents and Settings‖.
164
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.13 Salida tipo pantalla en que se muestra el termino del proceso para adquirir la
imagen de la carpeta ―Documents and Settings‖.
165
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En el presente caso objeto de estudio, esta actividad se aplicó de manera parcial ya que
como se definió con antelación fue la carpeta ―Documents and Settings‖, de la cual se
obtuvo su imagen forense.
166
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Cuando se obtengan las imágenes forenses (copias bit a bit), de diferentes equipos (discos
duros, memorias etc.), se deberán etiquetar de manera adecuada y correctamente a fin de
no cometer errores en el manejo y custodia.
En el presente estudio, el material fue identificado como ―01‖ y siendo un sólo elemento a
analizar, no hubo mayor problema con respecto a la individualización de su imagen forense.
Para la realización del presente estudio se contó con un bloqueador de escritura con el fin
de no alterar la evidencia original y mantener su la integridad de la información almacenada
intacta.
167
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Derivado del proceso de obtención de imagen forense, se obtuvo el valor ―Hash‖ (guardado
en el archivo: ―Imagen del Disco Duro Objeto de Estudio.ad1.txt‖), que se muestra en la
siguiente figura:
Para el presente caso objeto de estudio se obtuvieron los siguientes valores ―Hash‖:
MD5 checksum: 2262c6f33fe0ed18e328a24e01523bb6
SHA1 checksum: a61e29c88aad2972c95e253451fafbd1aef43b4c
168
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.15 Vista del contenido del archivo generados con el valor ―Hash‖ de la imagen del
disco duro.
169
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Antes de que la imagen se deposite en un disco duro es una buena práctica esterilizar o
limpiar esté medio de destino.
Para el presente caso particular bajo estudio, la aplicación de esta actividad no aplica, toda
vez que considerando el tamaño (7.31 GB (7.856.263.168 bytes)) de los dos archivos que
conforman la imagen forense adquirida, no fue necesario utilizar un disco duro para su
almacenamiento, sino que basto el resguardarlos en un Disco Compacto DVD de doble
capa (estos discos tienen una capacidad de 8.5 GB).
170
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
SubActividad 3.3.8 Asegurar que el medio que almacene la imagen, no sea utilizado
para imágenes posteriores, a menos que se le aplique un procedimiento que
garantice su esterilización.
Para el presente caso motivo de estudio, la aplicación de esta actividad no aplica, ya que
fue utilizado para el resguardo de las imágenes forenses adquiridas un disco compacto DVD
de doble capa.
171
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
SubActividad 3.3.9 Crear otra imagen de respaldo, y procurar trabajar sobre está.
172
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
A efectos del presente caso motivo de estudio, se estableció que la imagen forense se
obtenía de manera parcial y no del total del disco duro, toda vez que de la exploración que
se efectuó del disco duro, bajo estudio se observó que la información de interés se
localizaba en un directorio (se obtuvo la imagen forense de la carpeta: ―Documents and
Settings‖).
173
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Por lo que respecta al presente caso motivo de estudio, se estableció el ocupar un disco
compacto DVD de doble capa para el resguardo de la imagen forense, derivado del tamaño
de los dos archivos generados.
• Transporte
Existen varios tipos de mecanismos que son utilizados para asegurar el transporte de la
evidencia, debido a que esta debe hacerse en bolsas antiestáticas, aislantes de
comunicaciones y en un buen contenedor para evitar que esta se dañe.
174
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
175
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Por lo que respecta al presente caso de estudio se procedió a montar los dos archivos
generados de imagen, al Software Forense para su respectivo análisis, como se muestra en
la siguiente figura:
176
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia adquirida.
Tener a la mano todas y cada una de las copias forenses correspondientes a la evidencia
adquirida de cada uno de los dispositivos bajo estudio.
177
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Con respecto al presente caso motivo de estudio no aplica esta Actividad ya que no es parte
del problema planteado.
178
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Evaluar si conviene realizar el análisis en vivo (con la computadora encendida) y/o apagada.
Para la realización del presente análisis la computadora cuestionada nunca fue encendida y
su estudio fue realizado haciendo uso de un protector de escritura.
179
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
A efectos del presente caso objeto de estudio, la actividad en comento, no aplica ya que el
equipo se recibió apagado.
180
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
De ser necesario considerar cualquier documental que facilite el presente análisis motivo de
estudio.
Por lo que se refiere a la presente investigación, esta actividad no aplica, ya que se trata de
una computadora comercial sin equipo adicional, así como el Planteamiento del Problema
no requiere de un estudio más detallado.
181
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En lo que concierne al presente caso objeto de estudio se procedió a abrir los archivos, sin
tener ningún problema.
182
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Por lo que refiere al presente caso objeto de estudio se determinó trabajar en la carpeta ó
directorio ―Documents and Settings‖.
183
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.17 Vista del archivo que generó el Software Forense al obtener la imagen del disco
duro motivo de estudio.
Llevar a cabo la exploración sobre las Imágenes Forenses adquiridas con el fin de localizar
información relacionada con el Planteamiento del Problema.
184
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Una vez obtenida la imagen (en este caso del directorio de interés y antes citado), se
procedió a trabajar sobre él, llevándose a cabo una exploración exhaustiva sobre las
Imágenes Forenses adquiridas con el Software Forense FTK Imager, con el fin de obtener la
información solicitada.
185
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos archivos que dan
respuesta al Planteamiento del Problema.
186
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se lleva a cabo la sustracción de archivos relacionados con los hechos que se investigan.
187
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.20 Salida tipo pantalla en la que se observa cómo se realiza el proceso de
exportación de archivos ubicados.
Cabe señalar que para el presente caso y tomando en consideración que la información
recuperada no representa un volumen grande de información, se tomo la decisión de
respaldarla en un disco compacto CD, el cual corresponde a un medio de solo lectura.
188
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se procedió a documentar todo el estudio técnico como se observa en las figuras que
ilustran la presente Fase IV: ―Análisis de datos‖.
189
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
SubActividad 4.2.6 Identificar y recuperar los archivos objetivo (determinados por algunos
criterios, por ejemplo aquellos que han sido afectados por el incidente).
190
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La presente actividad no aplica para el actual caso objeto de estudio, ya que no forma parte
del Planteamiento del Problema.
191
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
No aplica en el presente caso motivo de estudio, ya que no forma parte del Planteamiento
del Problema.
En lo que se refiere al presente caso motivo de estudio, esta actividad no aplica, ya que no
es parte del Planteamiento del Problema.
SubActividad 4.3.4 Extraer la información del sistema de archivos, para revelar las
características de la estructura de directorios, atributos, nombres, estampas de
tiempo, tamaño y localización de archivos.
Ésta actividad no aplica para el presente análisis, ya que no forma parte del Planteamiento
del Problema.
193
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
194
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Ésta actividad no aplica en el presente caso motivo de estudio, ya que los archivos
localizados y considerados como evidencia no poseen estos atributos, es decir no cuentan
con contraseña ó alguna otra característica que impida su apertura.
SubActividad 4.3.8 Utilizar software enfocado al análisis forense informático con el fin
de extraer la información del “file slack”.
No aplica en el presente caso motivo de estudio, ya que no es parte del Planteamiento del
Problema.
195
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Una vez extraídos los archivos producto de su búsqueda exhaustiva, se procedió a efectuar
su análisis.
196
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos de los
archivos localizados.
Para el presente caso motivo de estudio, por el hecho de manejar poco volumen de
información localizada (dos archivos encontrados como evidencia), la información recabada
sobre la evidencia se presento directamente tal y como se obtuvieron sus pantallas en el
Software Forense y que se observa en la Figura 4.21.
197
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Determinar si existen procesos ajenos a los propios del sistema operativo o de las
aplicaciones.
No aplica en el presente caso motivo de estudio, ya que para el presente caso por recibirse
el equipo apagado y desconectado de cualquier red de cómputo, no se consideró necesario
e incluso tomando en cuenta que no forma parte de nuestro Planteamiento de Problema.
198
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
No aplica en el presente caso motivo de estudio, ya que no forma parte del Planteamiento
del Problema.
Obtener datos de fecha y tiempo de la información comprometida y con base a ello concluir
cuando ocurrió determinado evento.
Ésta actividad no aplica para el presente caso motivo de estudio, ya que no forma parte del
Planteamiento del Problema.
199
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Correlacionar los eventos y demostrar con ello la creación, modificación y último acceso.
Por lo que se refiere a la presente actividad, ésta no aplica para el presente caso motivo de
estudio, ya que no forma parte del Planteamiento del Problema.
Localizar posibles indicios de alguna intrusión y/o por el que se halla comprometido el
sistema.
La presente actividad no aplica en el para éste caso motivo de estudio, por no formar parte
del Planteamiento del Problema.
200
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
No aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del
Problema.
Para llevar a cabo dicha actividad el investigador puede apoyarse en un sin número de
aplicaciones gratuitas (muchas de ellas en ambiente Linux), que permiten realizar análisis
forenses informáticos, incluso existen Live CD (Disco que funciona como disco de ―Booteo‖
(Disco que inicializa un equipo)), tales como Live CD Helix3 de e-fense® , Live CD Forense
Raptor ó el Live CD de Informática Forense DEFT.
En lo referente a la presente actividad ésta no aplica para este caso, por no formar parte del
Planteamiento del Problema.
201
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Después de elegir algún editor hexadecimal con el fin de explorar un archivo para corroborar
que corresponde el tipo de archivo con su extensión.
Para el presente caso motivo de estudio, no aplica ésta actividad por no formar parte del
Planteamiento del Problema.
Ésta actividad no aplica en el presente caso motivo de estudio, por no formar parte del
Planteamiento del Problema.
202
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Obtener información que servirá, para la toma de medidas adicionales que deben de
adoptarse en la extracción y análisis de procesos.
Por lo que se refiere a esta actividad, para el presente caso motivo de estudio, no aplica.
Tratar de obtener información adicional, basada en el nombre de los archivos bajo estudio.
Derivado del poco volumen de información que se manejo para el presente análisis, ésta
actividad no aplica.
203
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Efectuar la exploración de los archivos, considerados evidencia dentro del caso de estudio.
Para el presente caso motivo de estudio se procedió a abrir todos y cada uno de los
archivos obtenidos bajo el análisis y derivado de ello fueron considerados como evidencia.
SubActividad 4.7.4 Determinar el tipo del sistema operativo y/o sistema de archivos.
Efectuar la identificación del Sistema operativo y/o Sistema de archivos, del material objeto
de estudio.
La presente actividad no se aplica, por no formar parte del Planteamiento del Problema.
Ésta no se aplica para el presente caso motivo de estudio, por no ser parte del
Planteamiento del Problema.
204
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La actividad antes citada no se aplica para el presente caso motivo de estudio, por no
formar parte del Planteamiento del Problema.
La actividad antes citada no aplica para el presente caso motivo de estudio, por no formar
parte del Planteamiento del Problema.
205
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
No aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del
Problema.
Para el presente caso motivo de estudio no se aplica ésta actividad, por no formar parte del
Planteamiento del Problema.
206
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
La actividad no se aplica para el presente caso motivo de estudio, por no formar parte del
Planteamiento del Problema.
Documentar información relacionada con los dispositivos y/o elementos técnicos que
conforman la red de cómputo.
Ésta actividad no se aplica para el presente caso motivo de estudio, por no formar parte del
Planteamiento del Problema.
Identificar dispositivos tales como: Servidores Web, ―Firewall‖, IDS‘s (Intrusion Detection
System), IPS‘s (Intrusion Prevention Systems), ―Proxys‖, Servidores de ―Logs‖, etc.
En lo que concierne al presente caso motivo de estudio, ésta actividad no aplica por no
formar parte del Planteamiento del Problema.
207
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
208
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se redacta y estructura el documento final que sustentará una prueba en un proceso legal.
Es la Fase que tiene como fin la presentación y entrega de los resultados obtenidos de la
investigación del análisis forense informático
Actividad 5.1 Considerar todas y cada una de las Actividades que conforman la
presente Fase a fin de cumplimentar lo necesario para estar en posibilidad de
redactar el documento final.
Tener presente todas las generalidades, sobre la elaboración del documento final y en el
cual se obtendrán la(s) conclusión (es) del caso bajo estudio.
209
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
SubActividad 5.1.1 Definir las secciones (estructura) del cuerpo del documento final.
Una vez practicadas las fases anteriores, se recabo la información obtenida de las mismas,
por lo que se opto para el presente caso objeto de estudio, incluir los siguientes apartados
dentro del documento final:
I) Antecedentes.
II) Planteamiento del Problema.
III) Identificación del material objeto de estudio.
IV) Consideraciones Técnicas.
V) Estudio técnico.
VI) Conclusiones ó Conclusión.
210
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
SubActividad 5.1.2 Explicar claramente el objetivo del Dictamen Pericial y motivo por
el cual se realizó este estudio determinado.
averiguación previa o si se contó con el apoyo de cualquier otra persona a efecto de llevar a
cabo el estudio correspondiente.
I) Antecedentes.
En atención a su oficio de petición de fecha 18 de diciembre de 2009, solicitado por la
C. Autoridad Competente, Lic. X, mediante el cual solicita se designe perito en
materia de informática, a efecto de que se trasladé y presente el día viernes 25 de
abril del año en curso, al domicilio de la Delegación X, la cual se encuentra ubicada
en X.
212
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
213
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se especifica por ejemplo el tipo de equipo, marca, modelo, numero de serie y/o inventario,
alguna observación tal como si se encuentra en buen estado ó maltratado.
Observación: El presente material objeto de estudio presenta marcas propias de uso, así
mismo se informa que el equipo es armado (sin marca).
214
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se establecen las razones por las cuales se procederá de tal manera y/o justificaciones del
uso ó no de alguna herramienta informática.
A efecto de realizar la exploración del disco duro, este se sustrajo del gabinete objeto
de estudio (descrito en el apartado III del cuerpo de este documento), con el fin de
llevar a cabo su análisis en otro equipo de cómputo, haciendo uso de un protector
contra escritura y software de análisis forense. Una vez terminado su respectivo
estudio el disco duro fue ensamblado nuevamente en su ubicación original.
En lo que se refiere al uso del protector contra escritura, este dispositivo permite la
exploración de un disco duro con la propiedad de sólo lectura, con la finalidad de
preservar su contenido intacto.
215
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
En lo que se refiere al Disco Duro bajo análisis, éste fue reconocido, por el software
forense al que se monto (con el que se examino), como ―PHYSICALDRIVE0‖.
V) Estudio técnico.
Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con
base en la lógica formal.
216
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.22 Conexión del Disco Duro bajo estudio al protector contra escritura.
217
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Una vez obtenida la imagen forense, de la cual en el caso bajo estudio resultaron dos
archivos (―Imagen del Disco Duro Objeto de Estudio.ad1‖ y ―Imagen del Disco Duro Objeto
de Estudio.ad2‖), se procedió a montarlos (adicionarlos como evidencia en el software) en el
software forense, con el fin de llevar a cabo una búsqueda exhaustiva, de todo archivo de
texto que pudiera tener relación con el criterio de búsqueda especificada por la C. Autoridad
Competente (Planteamiento del Problema).
218
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que conforman la
Imagen Forense del presente caso bajo estudio.
219
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se
apegan al criterio especificado en el Planteamiento del Problema.
Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el
mismo de la misma manera en que se recibió.
La intervención pericial emite una conclusión que viene formulada sobre concretos datos
arrojados por el estudio técnico.
220
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
VI) Conclusión:
221
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
I) Antecedentes.
En atención a su oficio de petición de fecha 18 de diciembre de 2009, solicitado por el
C. Autoridad Competente, Lic. X, mediante el cual solicita se designe perito en
materia de informática, a efecto de que se trasladé y presente el día viernes 25 de
abril del año en curso, al domicilio de la Delegación X, la cual se encuentra ubicada
en Y.
222
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Observación: El presente material objeto de estudio presenta marcas propias de uso, así
mismo se informa que el equipo es armado (sin marca).
223
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
A efecto de realizar la exploración del disco duro, éste se sustrajo del gabinete objeto
de estudio (descrito en el apartado III del cuerpo de este documento), con el fin de
llevar a cabo su análisis en otro equipo de cómputo, haciendo uso de un protector
contra escritura y software de análisis forense. Una vez terminado su respectivo
estudio el disco duro fue ensamblado nuevamente en su ubicación original.
En lo concerniente al uso del protector contra escritura, cabe señalar que el mismo
permite la exploración de un disco duro con la propiedad de sólo lectura, con la
finalidad de preservar su contenido intacto.
Por lo que se refiere al Disco Duro bajo análisis, éste fue reconocido, por el software
forense al que se monto (con el que se examino), como ―PHYSICALDRIVE0‖.
V) Estudio técnico.
Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con
base en la lógica formal.
224
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.26 Conexión del Disco Duro bajo estudio al protector contra escritura.
225
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.27 Salida tipo pantalla en donde se muestra que el proceso de obtención de la
Imagen Forense, se efectuó con éxito.
Una vez obtenida la imagen forense, de la cual en el caso bajo estudio resultaron dos
archivos (―Imagen del Disco Duro Objeto de Estudio.ad1‖ y ―Imagen del Disco Duro Objeto
de Estudio.ad2‖), se procedió a montarlos (adicionarlos como evidencia en el software) en el
software forense, con el fin de llevar a cabo una búsqueda exhaustiva, de todo archivo de
texto que pudiera tener relación con el criterio de búsqueda especificada por la C. Autoridad
Competente (Planteamiento del Problema).
226
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.28 Salida tipo pantalla en donde se muestran los dos archivos que conforman la
Imagen Forense del presente caso bajo estudio.
227
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Figura 4.29 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se
apegan al criterio especificado en el Planteamiento del Problema.
Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el
mismo de la misma manera en que se recibió.
VI) Conclusión:
228
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Firmar el Dictamen, así mismo no olvidar incluir en el cuerpo del Dictamen a todas las
personas que de alguna manera intervinieron en el caso bajo estudio.
229
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
SubActividad 5.2.1 Explicar los resultados del análisis, donde se detallen con claridad
los hallazgos.
230
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el presente caso motivo de estudio, la actividad no aplica ya que por haber realizado
un estudio técnico relativamente sencillo en cuanto a procedimientos, en este caso no fue
necesario el realizar una bitácora.
SubActividad 5.2.3 Cumplir con exhaustivo cuidado con los procedimientos previstos
para el mantenimiento de la cadena de custodia.
SubActividad 5.2.4 Contar con todos los oficios recibidos y/o utilizados durante toda
la investigación.
Tener a la mano y por duplicado todos los oficios recibidos y/o redactados durante la
investigación.
231
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Para el presente caso motivo de estudio, se da por hecho el haber llevado a cabalidad la
presente actividad.
Dar una breve explicación del uso de la aplicación informática ó hardware empleado durante
la investigación.
SubActividad 5.2.6 Citar a las pruebas, de una manera concreta con el fin de hacer
entendible la conclusión.
Las pruebas que se localicen y/o cualquier hallazgo se hará sin dar excesivos detalles
acerca de cómo se obtuvieron estas. Cualquier descripción a detalle, colocarlo en el
apartado correspondiente al estudio técnico.
232
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
SubActividad 5.2.8 Incluir antes de la firma del autor o autores, una nota aclaratoria
en la que se especifique que se entrega el material objeto de estudio de la misma
forma en la que se recibió.
Incluir una nota u observación en la que se especifique la entrega del material motivo de
estudio.
233
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se incluyó en el cuerpo del Documento Final, la siguiente leyenda: ―Una vez concluido el
análisis del material proporcionado para su estudio, se devolvió el mismo de la misma
manera en que se recibió.‖; de esta manera, se tendrá un mecanismo más para deslindarse
de cualquier responsabilidad por el daño ó perdida del material motivo de estudio.
Una vez terminado el Dictamen Pericial, se deberá tener el cuidado suficiente al momento
de ser entregado, cuidando detalles tales como, que la persona que reciba, escriba: su
nombre, firma, fecha (en ocasiones si se cree conveniente la hora también), y especifique
bien, que lo que está recibiendo es un Dictamen ó bien un informe o se establezca si recibe
anexos y por ultimo precise que recibe el material motivo de estudio.
Para el presente caso motivo de estudio la presente actividad se da por realizada (por
tratarse de un caso supuesto).
SubActividad 5.2.10 Realizar cualquier observación, dentro del documento final antes
de estampar la rúbrica (con el fin, de evitar que se invalide tal observación), se
recomienda firmar al margen todas y cada una de las fojas que constituyan el
Documento Final.
234
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Se recomienda que todo texto vaya antes de firmar el dictamen, se recomienda firmar todas
las fojas que constituyan el mismo, así como no dejar espacios en blanco pronunciados.
Al elaborar el Dictamen, se llevaron a cabo todas las recomendaciones dadas por esta
actividad.
235
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Con esto se verifica la funcionalidad y la viabilidad de la Metodología para ser aplicada por
un investigador forense en informática.
También se hizo hincapié en que las evidencias digitales, deberán ser obtenidas bajo la
aplicación de un adecuado estudio técnico, que garantice la integridad de ésta, permitiendo
elaborar un dictamen claro, conciso, fundamentado y justificado en las hipótesis que en él
se barajan a partir de las pruebas recogidas.
236
Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Capítulo 5.-
237
Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
5.0 Presentación.
En el trabajo de Tesis se obtuvo una Metodología para llevar a cabo una intervención
pericial en Informática Forense, la cual puede ser muy útil al intervenir dentro de una
investigación donde se halla suscitado un incidente informático.
Con esto, se infiere que la Metodología Propuesta, puede ser aplicada en cualquier
investigación relacionada con delitos informáticos.
238
Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
El objetivo general presentado: Proponer una Metodología con un enfoque sistémico para
su aplicación en la Informática Forense, en auxilio de la Justicia Moderna, el cual se cumple
a lo largo del desarrollo de los capítulos anteriores, así, como de los objetivos específicos.
Se considera, que se dio cumplimiento a los objetivos particulares de la tesis, debido a que
se realizó un trabajo para identificar las circunstancias y elementos a considerar al momento
de realizar una intervención pericial en la vida real.
239
Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Conocer el medio ambiente en cuanto a Permitió obtener una visión del medio
los delitos informáticos, para conocer el ambiente donde se desarrollaron las
mecanismo de cómo se debe responder fases de la Metodología Propuesta, así
ante un eventual ataque informático. como el tener presentes algunas
consideraciones imprescindibles al
momento de llevar a cabo una
intervención pericial.
Analizar las Metodologías y estándares Fue esencial el conocer bajo que Medio
en cuanto a evidencia digital se refiere Ambiente se desenvuelve la Informática
para efectuar una evaluación y Forense, bajo el contexto legal en el
diagnóstico de la situación actual. marco de una intervención pericial.
Como se observa, en general se cumplieron los objetivos del proyecto de tesis; sin embargo
se puede considerar que, dentro de la aplicación de la Informática Forense existen otros
factores que son muy importantes, como son: el considerar los aspectos operacionales
como requerimientos técnicos para adquisición de evidencia, colaboración con otros grupos
u organismos de investigación, gestión de casos, la realización de cualquier estudio técnico
bajo el soporte de la Ley, desarrollo de políticas de seguridad para respuesta a incidentes y
plan preventivo y de continuidad. Esto se puede tomar en cuenta para los siguientes:
240
Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
241
Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
242
Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
A lo largo del desarrollo del presente trabajo se pudo llegar a comprender que el análisis
forense informático se traduce como: la ciencia que mediante la aplicación de
procedimientos técnicos permite identificar, adquirir, preservar, analizar, presentar y
sustentar la información que ha sido procesada electrónicamente y almacenada en un
medio computacional.
243
Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
El presente proyecto de tesis ha sido posible gracias a que se llevaron a cabo una
integración y aplicación de conocimientos adquiridos en la ―Maestría en Ciencias en
Ingeniería de Sistemas‖. El saber aplicar la visión sistémica u holística, me permitió
obtener una nueva visión del mundo. Mediante el uso de Metodologías se obtienen
resultados concretos en la solución de problemas, ya que de esta manera se tienen
bases sólidas a partir de las cuales se obtienen resultados confiables que permiten
presentar un contenido claro y conciso en fondo y en forma.
Cabe señalar que este proyecto de tesis, representó para el suscrito una inestimable
oportunidad para aumentar y practicar los conocimientos adquiridos durante la
maestría, compaginado con la experiencia profesional.
244
Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
245
Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Bibliografía:
[Buzan, 1996], Buzan T., ―El libro de los mapas mentales‖, Ediciones Urano, España, 1996.
[Galindo, 2007] Galindo L., ―Una Metodología Básica para el Desarrollo de Sistemas‖,
Memorias del 3er. Congreso Internacional de Metodología de la Ciencia y de la
Investigación para la Educación, Asociación Mexicana de Metodología de la Ciencia y de la
Investigación, A.C. e Instituto Campechano; 23 de Marzo de 2007, Campeche, Camp.
[Locard, 1963] Locard E., ―Manual de Técnica Policiaca‖. Editorial José Montesó, 1963.
[Moreno, 2009] Moreno R., ―Introducción a la Criminalística‖, Editorial Porrúa, México, 2009.
246
Ing. Arturo Palacios Ugalde.
Bibliografía.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN
SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Referencias a Internet:
http://archivos.diputados.gob.mx/Comisiones/Especiales/Acceso_Digital/Presentaciones/Pro
curacion_justicia_PGR.pdf
http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg00007.html
http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt
http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
http://www.bibliojuridica.org/
http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.html
http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf
http://www.nist.gov/index.html
http://www.ojp.usdoj.gov/nij/funding/welcome.htm
http://www.fbi.gov/
http://www.caine-live.net/
247
Ing. Arturo Palacios Ugalde.
Bibliografía.