Gua prctica para la elaboracin de un peritaje informtico

Para la elaboracin de un dictamen, es necesario la obtencin de evidencias electrnicas de los equipos informticos, tanto los que existen como los que han sido borrados o eliminados y que pueden ser relevantes en el procedimiento al que nos han solicitado nuestra pericia. No debemos de olvidar respetar la LOPD, y presentar tan solo los ficheros por los que nos han solicitado nuestra pericia que pueden tener una relevancia jurdica informando de su contenido y no otros. Debemos de: Mantener segura la cadena de custodia asegurando la nulidad del proceso En nuestra intervencin, deberemos de seleccionar los elementos relevantes, descartando los dems equipos tecnolgicos, previo examen inicial Detallar los pasos en nuestra intervencin al igual que el uso de programas y herramientas que hemos utilizado en nuestra pericia. Cuando localizamos los ficheros, se imprimen y se realizan transcripciones escritas No alterar los elementos informticos originales, trabajando con copias clnicas. Realizar el informe pericial, repasndolo varias veces, antes de la entrega al cliente, analizando todos los posibles errores en su confeccin. Cuanto ms claro e irrefutable sea el dictamen, la ratificacin en juicio ser menor, aunque muchas veces sea preciso nuestra presencia en el juicio.

PRIMERA INTERVENCION PERICIAL Cuando realicis la primera intervencin, deberis de estar atentos a lo que hay a vuestro alrededor, quien maneja los equipos informticos, empleados, personal externo, proveedores identificar al informtico o responsable del departamento informtico, quien es el encargado de la seguridad informtica, cuantas personas acceden a la empresa desde la red como el web mster, proveedores de servicios, comerciales, directivos Especial atencin a los aparatos y equipos tecnolgicos como : Equipos informticos, tanto equipos de sobremesa como porttiles Servidores Samrtphone Tablet Agendas electrnicas E-Book PDA Pen drives Discos Duros Reproductores MP3 Dispositivos USB Grabadores de Tarjetas Magneticas Discos Opticos CDs y DVS, eliminando los grabados por los fabricantes Programas de instalacin Telfonos mviles Impresoras

 Fotocopiadoras PROCEDIMIENTO Todos los equipos han de ser fotografiados e inventariados en nuestra agenda con la resea y ficha del sealando en el momento que fueron encontrado en el lugar de la intervencin y con las caractersticas tcnicas de cada elemento, tanto si estn en funcionamiento como apagados Equipo Marca Modelo Numero de Serie Es importante que nadie en el momento de nuestra intervencin, manipulen los equipos con el objeto de que alguien introduzca algn archivo que invalide el peritaje y si se ha de proceder al apagado de algn equipo, retiraremos la corriente elctrica, para no perder ficheros temporales significativos. De esta manera no dar lugar a conjeturas acerca del proceso de la cadena de custodia en el peritaje inicial. Nuestra actuacin en los equipos relevantes y sin apagarlos ni dejar que el monitor se apague consistir en la copia de los discos duros, memorias y similares mediante las docking station de grabacin y utilizando las herramientas y programas forense que utilizamos normalmente. Si en nuestra intervencin, normalmente judicial hay que intervenir los equipos, deberemos de realizar un inventariado anotando y firmando cada elemento intervenido, procediendo de la siguiente manera: Ordenadores de sobremesa: Comprobamos si las lectoras tienen algn disco ptico, si hay algn pendrive, tarjeta de memoria u otro dispositivo usb conectado y procedemos al apagado el ordenador, desenchufando directamente de la corriente para no perder archivos que pueden ser relevantes, desconectamos los cables y extraemos todos los discos duros Ordenadores Porttiles: comprobamos si hay algn disco ptico en la lectora, si i hay alguna tarjeta o pendrive u otro dispositivo usb y desenchufamos el cargador, la batera y procedemos a la extraccin del disco duro, sabiendo que algunos equipos porttiles tienen dos discos duros. Discos pticos: anotaremos el nmero de serie que est en el orificio central Todos los discos tanto rgidos como pticos han de ser firmados y guardados en bolsas antiestticas Todos los dems equipos tecnolgicos de la intervencin debern inventariarse, firmarse y guardarse en bolsas antiestticas por separado, con sus cargadores correspondientes.

HERRAMIENTAS Es muy importante adems de ser profesional, parecerlo. Cuando nos presentamos para la realizacin de una pericia informtica tanto judicial como extrajudicialmente, debemos de presentarnos con pulcritud, utilizando un lenguaje no tcnico y anotando cada paso del protocolo realizado con lo que llevaremos un maletn de trabajo con un mnimo de materiales como: Ordenador porttil, para comprobar si hay wifi y amenazadas de robo de red Cmara digital de fotos con grabadora Agenda y bolgrafos Discos pticos CDs, DVDs, vrgenes y rotulador de discos Grabadora de DVDs externa Destornilladores variados y de precisin

Discos HDD, de 2.5 y 3.5 limpios Donking station Guantes de ltex Bolsas antiestticas Grabadora de audio

TRABAJO EN NUESTRO LABORATORIO FORENSE INFORMATICO Aconsejo la utilizacin de una cmara videograbadora que nos servir a nosotros para saber todo el proceso que hemos realizado, y nos ayudara a corregir los errores habituales. Nuestra mesa de trabajo a de estar asptica y contar con las herramientas, programas y ordenadores que tendrn diferentes sistemas operativos. Procederemos a las lecturas de los discos rgidos, pticos, pendrives y dems elementos; con los distintos soportes operativos, ordenadores, docking station y elementos que componen nuestro laboratorio forense informtico. Realizaremos una recuperacin de posibles archivos borrados, para localizar archivos potenciales o relevantes, al igual que las grabaciones y hay que recalcar el fichero borrado y recuperado en el informe, explicando el mtodo por el que se a obtenido, indicando los programas y las herramientas. Aquellos archivos que no podamos leer por tener archivos daados, encriptacin, dao fsico o similar se enviaran a la cmara de vaco de los laboratorios de recuperacin de datos. Para la localizacin de archivos en los discos clonados, necesitaremos discos limpios y sistemas auto arrancables para no alterar ningn dato que pudiera invalidar la prueba pericial. Escribiremos todo el proceso realizado, indicando los programas y herramientas utilizadas, etiquetando por separado en CDs cada archivo que pueda ser relevante para el caso y cerrados para evitar la manipulacin futura. Cada archivo ha de examinarse por separado y verificar los metadatos del mismo. Verificar con detenimiento carpetas y subcarpetas, y antes de la eliminacin de cada uno de ellos, mirar las propiedades y su peso, ya que pueden estar ocultos o encriptados. Adems de la transcripcin escrita, indicando la ruta completa del archivo, fecha de creacin del fichero, usuario del equipo informtico y su localizacin, hay que imprimir un pantallazo, con indicacin nica del archivo, carpeta o dato encargado en la pericia. Es habitual el uso de remotos para la realizacin de actos delictivos, con lo que si en los archivos aparece la manipulacin de archivos desde otra ip distinta al ordenador de la pericia, resear la ip manipuladora. Cuando intentamos abrir un archivo y no tenemos el programa en nuestro laboratorio con el que se habra normalmente, es recomendable el block de notas o utilizar un sistema independiente como Linux. INFORME PERICIAL El informe pericial es una primera valoracin por el perito que se entrega generalmente al consejero jurdico del cliente, para poder examinar las evidencias electrnicas halladas y dirimir

como se va a llevar el proceso en vista a las pruebas obtenidas. Se realiza un informe tipo en donde se hace constar de manera clara y con un lenguaje no tecnicista los datos obtenidos. DICTAMEN CON CONCLUSIONES Cuando recibimos la contestacin del asesor legal y el visto bueno del cliente que nos realizado la provisin de fondos y ha firmado el contrato de servicio pericial nos dedicamos a la emisin de un dictamen de la pericia encargada con las conclusiones finales. En dicho dictamen, se indican que componentes informticos, se han encontrado los ficheros relevantes y el resumen de su contenido de la evidencia digital, referencindose en el informe como evidencia electrnica relevante. Todos los dictmenes han de tener una excelente caligrafa con lo que el ordenador es una opcin recomendable, cuidando la revisin de faltas ortogrficas, no escatimando en cuanto a la presentacin, numero de hojas ni discos pticos en donde estn las evidencias electrnicas vinculantes al esclarecimiento del caso. En nuestro dictamen tiene que constar: Nombre y Apellidos del cliente (En los peritajes penales, es mejor omitir los datos personales, identificndose con el carnet profesional) Nmero de diligencias y Juzgado Objeto de la Pericia Identificacin del Perito Si pertenece a alguna Organizacin o Colegio Profesional Inventario de los equipos analizados con sus fichas tcnicas y la procedencia de los mismos Herramientas y programas utilizados Informe imparcial de las evidencias obtenidas, describiendo desde la recepcin de equipos hasta la obtencin de las evidencias electrnicas relevantes, describiendo el protocolo utilizado en la cadena de custodia, copias y obtencin de datos, detallando las caractersticas de los equipos que forman la pericia, enumerando los equipos informticos y los ficheros y datos enumerados. No olvidaros de firmar el dictamen con vuestros datos profesionales y telfono de contacto

Se devuelven todos los materiales informticos intervenidos y guardamos una copia del dictamen pericial que nos servir de archivo y de refresco para una posible ratificacin de nuestra pericia en un juicio. Tambin es conveniente realizar una copia de los discos pticos relevantes y los discos rgidos. RATIFICACION Cuando el juez acuerde nuestra presencia en el procedimiento, nos citara con antelacin suficiente para poder refrescar la pericial realizada con lo que conviene tener todos los datos ordenados y enumerados. Nuestra actuacin en el juicio es bsicamente la de ratificarnos en el dictamen realizado, pudiendo las partes realizar preguntas sobre el proceso del mismo o las evidencias electrnicas halladas. Con lo que es muy importante la presentacin de un dictamen con la letra legible, con indicacin de todo el protocolo y la enumeracin de equipos en los que hemos realizado la pericia y los pasos realizados; ya que el legislador no tiene que tener ninguna duda al or el dictamen aportado. Un

informe mal realizado, puede llevarnos a una contra pericial con lo que el trabajo se multiplica y mermara nuestra reputacin.

El peritaje informtico en la prctica forense contable y empresarial

Como ampliacin de posibles actuaciones y sugerencias a considerar por las empresas auditoras, el perito informtico puede ser determinante a la hora de:

Validar la autenticidad e integridad de los documentos, bien sea, analizando quin los ha creado y trabajado despus, si han sido y cuando fueron manipulados, si corresponde al momento temporal que se indica, si han sido retocados o transformados, etc. Examinar y autentificar el contenido de los correos electrnicos, quien ha emitido el correo, quien lo recibi, cual es la cadena verdadera de secuencia de los mismos. En los registros contables, autentificar que no han sido manipulada la fecha en los sistemas o conocer por medio de las trazas internas cuando realmente fueron realizados esos asientos contables que, de repente, cuadran a la perfeccin cuando meses atrs no eran correctos y, sin embargo, la fecha de los asientos son anteriores. Rastreo, bsqueda y localizacin de documentos de contabilidad paralela y ms casera en los dispositivos de los empleados. Elaboracin de escenarios para capturar evidencias o prcticas no deseadas, de forma legal y vlidas para un proceso judicial. Anlisis de las comunicaciones de un dispositivo, conexiones, envo y recepcin. Deteccin de extraccin de informacin de los dispositivos, copias de ficheros, backup. Deteccin de intrusin externa o de software malicioso que permite la extraccin de informacin de cuentas, contraseas, accesos no autorizados. Etc.