criminales donde computadores o redes son utilizados como herramientas, objetivos o lugares para cometer un delito. Un delito informático o ciberdelicuencia es toda aquella acción, típica, antijurídica y culpable, que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet. Debido a que la informática se mueve más rápido que la legislación, existen conductas criminales por vías informáticas que no pueden considerarse como delito, según la "Teoría del delito", por lo cual se definen como abusos informáticos, y parte de la criminalidad informática.
investigación de los sistemas de información para detectar toda evidencia que pueda ser presentada como medio de prueba fehaciente para la resolución de un litigio dentro de un procedimiento judicial. Su implementación debe llevarse a cabo considerando lo dispuesto por la normativa legal aplicable, a efectos de no vulnerar los derechos de protección de datos y de intimidad de terceros. Inteco (Instituto Nacional de Tecnologías de la Comunicación)
obtener las evidencias que consideremos de interés de manera que posteriormente puedan ser analizadas. Asemejando el hecho al ámbito forense tradicional, la recolección de las evidencias sería algo así como la recogida de una muestra de sangre dentro de la escena de un crimen. La diferencia es que nuestra escena del crimen no es la habitación de un domicilio, si no que es un equipo informático y la sangre que tenemos que recoger puede ser desde un sencillo archivo de logs, hasta el disco (o discos) duro completo.
de las evidencias tiene por objetivo el garantizar que lo que se analiza es lo mismo que previamente se ha recolectado cumpliendo así con el procedimiento de cadena de custodia, requisito indispensable para que una evidencia tenga validez judicial.
de las evidencias es la etapa en la que se intenta responder a las tres preguntas mencionadas: ¿Qué se ha alterado? ¿Cómo se ha alterado? ¿Quién ha realizado dicha alteración?
es la última etapa de un análisis forense y consiste en la realización de un informe pericial en el que se detallen: • La descripción del equipo informático o dispositivo objeto del mismo. • Los procedimientos realizados por los peritos y sus resultados. • Las conclusiones a las que los peritos han llegado en base a los resultados obtenidos.
crimen 2 - Recolectar evidencia preliminar 3 - Obtener una orden 4 - Desarrollar procedimientos de primera respuesta 5 - Adquirir evidencia de la escena del crimen 6 - Transportar la evidencia al laboratorio Forense 7 - Crear 2 copias bit a bit de la evidencia 8 - Generar un HASH de las imagenes
cadena de custodia 10 - Almacenar la evidencia original en un lugar seguro 11 - Analizar las imagenes de la evidencia 12 - Preparar el reporte pericial 13 - Enviar el informe al cliente 14 - Si es requerido, asistir a la corte y apoyar como testigo experto
original • Seguir las reglas de la evidencia • No alterar la evidencia • Siempre desarrollar la cadena de custodia • Manipular la evidencia con cuidado • Documentar cualquier cambio en la evidencia
electrónico, de forma física o lógica y que permita constatar un hecho investigado o el esclarecimiento del mismo. • Documentos Electrónicos • Archivos temporales • Eventos del Sistema Operativo • Tráfico de Red • Volcado de Memoria RAM • Imagenes, Audio o Video • Logs • Archivos de navegación (Cookies, temporales) • Registros de llamadas
aquellos, que como dice su nombre, son generados como efecto de la programación de un computador. Los registros generados por computador son inalterables por una persona. Estos registros son llamados registros de eventos de seguridad (logs) y sirven como prueba tras demostrar el correcto y adecuado funcionamiento del sistema o computador que generó el registro.
o en computadores: Estos registros son aquellos generados por una persona, y que son almacenados en el computador, por ejemplo, un documento realizado con un procesador de palabras. En estos registros es importante lograr demostrar la identidad del generador, y probar hechos o afirmaciones contenidas en la evidencia misma. Para lo anterior se debe demostrar sucesos que muestren que las afirmaciones humanas contenidas en la evidencia son reales.
por computador como almacenados en los mismos: Los registros híbridos son aquellos que combinan afirmaciones humanas y logs. Para que estos registros sirvan como prueba deben cumplir los dos requisitos anteriores.
puede ser tomada de una escena del crimen que ayude a obtener información, como lo son equipos de cómputo, router, memorias, unidades de almacenamiento externo, cámaras, equipos móviles y cualquier tipo de dispositivo electrónico que pueda contener información.
obtenidos en los equipos tecnológicos para su posterior análisis y puedan ser presentadas como evidencias. Esta información tiene la característica de ser copiada exactamente realizando una copia bit a bit utilizando herramientas de análisis forenses con las cuales se puede determinar que la información copiada no ha presentado modificaciones en su contenido y que permita verificar que la copia es exacta; para esto podemos utilizar algoritmos MD5 y SHA1 para generar el archivo HASH.
nombre lo dice es aquella que permanece solo por un tiempo determinado y no es para siempre. La información transitoria se encuentra normalmente en la memoria RAM, en la swap ó en la memoria virtual, la información contenida en estas áreas es temporal mientras el equipo esté encendido. Otro tipo de evidencia transitoria se puede dar cuando estamos realizado una conexión o se tiene sesión abierta en internet, esta evidencia debe ser tomada en el acto.
and Archiving http://www.rfc-base.org/txt/rfc-3227.txt • Guidelines for the best practices in the forensic examination of digital technology http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html • Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition https://www.ncjrs.gov/pdffiles1/nij/219941.pdf • Forensic Examination of Digital Evidence: A Guide for Law Enforcement https://www.ncjrs.gov/pdffiles1/nij/199408.pdf • Computer Forensics Part 2: Best Practices http://www.isfs.org.hk/publications/ISFS_ComputerForensics_part2_20090806.pdf
evidencia digital se tienen en cuenta los criterios de: autenticidad, confiabilidad, suficiencia y conformidad con las leyes y reglas de la administración de justicia
y cuando se cumplan dos elementos: • Demostrar que dicha evidencia ha sido generada y registrada en el lugar de los hechos • La evidencia digital debe mostrar que los medios originales no han sido modificados, es decir, que la los registros corresponden efectivamente a la realidad y que son un fiel reflejo de la misma.
eventos de seguridad son confiables si provienen de fuentes que son “creíbles y verificables”. Una prueba digital es confiable si el “sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o generar la prueba”
dentro del criterio de la suficiencia debe estar completa. Para asegurar esto es necesario “contar con mecanismos que proporcionen integridad, sincronización y centralización”
suele expresar así: "siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto". El principio ha permitido obtener indicios relevantes en numerosos lugares, desde huellas en el barro o sus restos en neumáticos y calzado, hasta huellas dactilares o restos en las uñas. Edmond Locard Criminalista francés (1877-1966)
ley del comercio electrónico y su decreto reglamentario 1747 de 2000, reconoció fuerza probatoria como documentos a los mensajes de datos • El artículo 10º de la Ley 527/99 regla: "Los mensajes de datos serán admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII, Sección Tercera, Libro Segundo del Código de procedimiento Civil. Lo anterior satisface el requisito de que la información conste por escrito, equiparando así al documento escrito tradicional • Con la promulgación de la ley 1273 de 2009 se da mayor admisibilidad a las evidencias digitales, en esta ley se modifica el código penal buscando la preservación integral de los sistemas de información y las comunicaciones
disciplina de las informática forense: • Scientific Working Group on Digital Evidence (SWGDE) https://www.swgde.org • American Academy of Forensic Sciences http://www.aafs.org • National Institute of Standards and Technology (NIST) http://www.cftt.nist.gov • American Society for Testing and Materials (ASTM) http://www.astm.org
en posesión de las evidencias antes de que éstas sean utilizadas en instancias judiciales, permitiendo que cualquier depositario de las mismas pueda ser citado judicialmente si las evidencias quedaran en entredicho durante el proceso. Este hecho atiende habitualmente a posibles errores respecto de los procedimientos utilizados durante el peritaje. Un forense llevado a juicio - Juan Luis García Rambla
impidiendo que se realice cualquier cambio sobre la misma. • Garantizar su autenticidad, permitiendo contrastar su origen. • Garantizar la posibilidad de localización, permitiendo saber en cualquier momento dónde se encuentra una evidencia. • Garantizar la trazabilidad de los accesos a la evidencia. • Garantizar su preservación a largo plazo.
mantenimiento de la cadena de custodia se suele llevar a cabo mediante la documentación de las personas custodiantes de la evidencia y el uso de funciones hash que garanticen la integridad de la misma. Así mismo, se ha de llevar un registro de las personas que realicen cualquier operación con la evidencia, indicando la operación realizada, la fecha en que dicha operación ha sido realizada (inicio y finalización) y la persona que la ha realizado.