Académique Documents
Professionnel Documents
Culture Documents
DEPARTAMENTO ESTUDIOS
ESPECIALES
DIVISIN INFORMTICA
JUDICIAL
DELITOS
INFORMTICOS
INGENIERO ELECTRNICO
JEFE DIVISIN INFORMTICA JUDICIAL
intelectual
Denegacin de servicios
Acceso no autorizado
Extorsin
Robo de servicios
Sabotaje informtico
Abuso de privilegios
INFORMTICA
FORENSE
DIVISIN INFORMTICA
JUDICIAL
Informtica Forense
Es una disciplina criminalstica que tiene como objeto la
investigacin, en sistemas informticos, de hechos con
relevancia jurdica o para la simple investigacin privada.
Para conseguir sus objetivos, la Informtica Forense
desarrolla tcnicas idneas para ubicar, reproducir y analizar
evidencias digitales con fines legales.
DIVISIN INFORMTICA
JUDICIAL
EVIDENCIA DIGITAL
Es cualquier registro generado por o guardado en un
medio de almacenamiento tecnolgico que es utilizado
para demostrar la comisin de un delito, y sirve como
elemento material probatorio en un juicio.
Cuando se la compara con otras formas de evidencia
documental la evidencia computacional es frgil. Esto
hace que los datos digitales adquiridos, o sea la copia
obtenida, no debe alterar las originales del disco, o sea
deben ser exactamente iguales a los originales.
De aqu toma importancia el CHECKSUM o HASH.
DIVISIN INFORMTICA
JUDICIAL
Breve resea
Gua Tcnica para Levantamiento de Evidencia
Digital
Ley 26388 Delitos Informticos
Ley 25506 Firma Digital
Ley 25326 de Habeas Data
Ley 24766 Confidencialidad Procedimiento de
Anlisis y cuidados de la Prueba
Ley 22362 Registros Marcarios
Ley de Propiedad Intelectual
DIVISIN INFORMTICA
JUDICIAL
Software Utilizado
HARDWARE
UTILIZADO
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
PROCEDIMIENTO DE ANLISIS Y
CUIDADO DE LA PRUEBA
VER LAS CONDICIONES DEL ESTADO GENERAL DEL EQUIPO A
ANALIZAR.
NO CONTAMINAR LA PRUEBA.
ACTUAR METDICAMENTE.
OBTENER UNA IMGEN FORENSE DEL DISCO.
PRIORIZAR EL CUIDADO DEL HASH ENTRE LA PRUEBA Y LA
IMAGEN FORENSE.
NO DAAR ELEMENTOS DE HARDWARE DE LA PRUEBA.
DIVISION INFORMTICA
JUDICIAL
MTODO
FORENSE
1. Acceso informtico forense
2. Identificacin de la
evidencia
3. Autenticacin de la
evidencia
4. Preservacin de la
evidencia
1 Acceso Informtico
Forense
CONSISTE EN:
Se extrae el disco a analizar del Equipo
Informtico cuestionado
Dispositivos especiales de conexionado para
ingresar al HD.
Se usa la herramienta ENCASE para analizar el
HD
2 Identificacin de la Evidencia
En que consiste:
Se identifica un conjunto de pruebas para ser tomadas como
evidencia.
Recuperar los atributos del archivo
Relevar la mayor cantidad de evidencia digital (sin alterarla)
3 Autenticacin de la Evidencia
En que consiste:
Clculo de firmas digitales.
Se obtiene un HASH (MD5 y SHA1).
Garantiza: integridad de evidencias digitales recolectadas y
permite identificar UNIVOCAMENTE a tales archivos.
Criptografa
Usos
Autenticacin:
implica
hablar
de
corroboracin de la identidad. En particular
del origen de un archivo.
informacin determinada.
Integridad: la informacin no haya sido
Hash
Tambin denominado valor Hash o sntesis del
mensaje, es un tipo de transformacin de datos.
Un Hash es la conversin de determinados
datos de cualquier tamao, en un nmero de
longitud fija no reversible, mediante la
aplicacin a los datos de una funcin
matemtica
unidireccional
denominada
algoritmo Hash.
Existen funciones comunes de Hash en un
sentido. Las ms comunes son MD5 y SHA-1.
4. Preservacin de la
evidencia
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
Resguardo de la evidencia
QU SE PUEDE
OBTENER DEL
ANLISIS FORENSE?
PODEMOS OBTENER:
AGENDA DE CONTACTOS
LOGS O HISTORIALES
CALENDARIO / TAREAS
SMS ENVIADOS Y RECIBIDOS
ARCHIVOS MULTIMEDIA (IMGENES, VIDEO, ETC)
E-MAIL O CORREOS
ARCHIVOS BORRADOS
ARCHIVOS DE SISTEMA
LLAMADAS ENTRANTES / SALIENTES
DOCUMENTOS WORD / EXCEL / PDF Y OTROS
BASES DE DATOS
TRANSACCIONES BANCARIAS
CHAT
ETC
PUNTOS PERICIALES
Puntos
Periciales
DIVISION INFORMTICA
JUDICIAL
SECUESTRO DE EVIDENCIA EN
LA ESCENA DEL CRIMEN
DIGITAL
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
PRESERVACIN Y
DOCUMENTACIN DE LA ESCENA
CRIMEN DIGITAL
EQUIPODEL
A LLEVAR
GUANTES
ZAPATILLAS SEGURAS PARA CONEXION
FUENTE (110V/220V)
MAQUINAS DE FOTOGRAFIAS
DVD
CD
SWITCH
ADAPTADOR DE SWITCH
CABLES UTP
BOLSAS ANTI-ESTTICA
GOMA ESPUMA
DIVISION INFORMTICA
JUDICIAL
PRESERVACIN Y DOCUMENTACIN DE
LA ESCENA DEL CRIMEN DIGITAL
EQUIPO A LLEVAR:
PC O NOTEBOOK con suficientes puertos
USB y FW 800
Bloqueador de Escritura (Write Blocker)
Cables de
conexin/Adaptadores/Interfaces/ Cajas
para removibles/LAN Crossover
Software Forense (F-SW)
Discos de almacenamiento de destino
SANITIZADOS (WIPEADOS)
DIVISION INFORMTICA
JUDICIAL
USAR GUANTES
INVENTARIAR TODO LO ENCONTRADO
LAPTOPS
CELULARES
DISKETTES
MEMORIAS FLASH
BLACKBERRYS
DISCOS RGIDOS
DISCOS PTICOS
PEN DRIVES
PDAs
CAMARAS DIGITALES
REPRODUCTORES DE MP3
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
DOCUMENTAR
DIVISION INFORMTICA
JUDICIAL
DOCUMENTAR
DIVISION INFORMTICA
JUDICIAL
DOCUMENTAR
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
VOLTIL
DATOS NO VOLTILES
Contenido del Sistema de Archivos
y Medios de Almacenamiento Fijos
Contenido Medios de
MENOS VOLTIL
Almacenamiento Removibles
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
PSLOGGEDON.EXE
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
DESCONECTAR LA CONECTIVIDAD
CABLES DE RED
VERIFICAR CONEXIONES WI-FI
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
DIVISION INFORMTICA
JUDICIAL
CADENA DE CUSTODIA
DOCUMENTACIN (EN PAPEL) DE:
Confiscacin o Secuestro
Custodia
Control
Transferencia
Anlisis
Remisin de evidencia digital
MANIPULAR LA EVIDENCIA
CUIDADOSAMENTE PARA EVITAR
ALEGATOS DE ADULTERACIN Y/O
FALSIFICACIN DE LA EVIDENCIA DIGITAL
DIVISION INFORMTICA
JUDICIAL
CADENA DE CUSTODIA
DEBE DOCUMENTARSE EL PROCESO DE CICLO DE
VIDA DE LA EVIDENCIA DIGITAL:
Mtodos
Horarios
Fechas
Identidad del Personal Involucrado
Etc.
DEBE DOCUMENTARSE:
DNDE ESTUVO LA EVIDENCIA?
QUIN TUVO ACCESO A LA MISMA?
DESDE LA OBTENCIN INICIAL HASTA QUE LLEGUE A
LOS TRIBUNALES DE JUSTICIA
DIVISION INFORMTICA
JUDICIAL
CADENA DE CUSTODIA
DIVISION INFORMTICA
JUDICIAL
CADENA DE CUSTODIA
DOCUMENTAR:
Qu es la evidencia?
Cmo se la obtuvo?
Cundo fue obtenida?
Quin la obtuvo?
Dnde viaj?
Dnde fue guardada?
DIVISION INFORMTICA
JUDICIAL
VERIFICAR SU DIGITAL
PROPIA SEGURIDAD
FECHA Y HORA
HISTRICO DE COMANDOS
PROCESOS ACTIVOS
DESCONECTAR LA CONECTIVIDAD
APAGAR LAS COMPUTADORAS
GUARDAR LA EVIDENCIA
PROTEGER LA CADENA DE CUSTODIA
ACTA CONSTANCIA
DIVISION INFORMTICA
JUDICIAL
TELEFONIA CELULAR
HARDWARE UTILIZADO
PROCEDIMIENTO DE ANLISIS Y CUIDADO DE LA
PRUEBA
METODOLOGA DE ACCESO A LA INFORMACIN
PRESENTACIN DEL ELEMENTO DE PRUEBA
OBJETIVO LOGRADO
DIVISION INFORMTICA
JUDICIAL
Hardware Utilizado
UFED
DIVISION INFORMTICA
JUDICIAL
REPORTE UFED:
PDF
DIVISION
INFORMTICA
JUDICIAL
Hardware Utilizado
XRY
DIVISION
INFORMTICA
JUDICIAL
XRY
DIVISION INFORMTICA
JUDICIAL
XRY
REPORTE XRY:
HTML
DIVISION
INFORMTICA
JUDICIAL
DIVISION
INFORMTICA
JUDICIAL
XRY
DIVISION
INFORMTICA JUDICIAL
PROCEDIMIENTO DE ANLISIS Y
CUIDADOS DE LA PRUEBA
Ver las condiciones del estado general del
equipo de telefona celular a analizar.
No contaminar la prueba.
Actuar metodicamente.
No daar elementos de hardware en la prueba.
Controlar la cadena de custodia.
DIVISION INFORMTICA
JUDICIAL
METODOLOGA DE ACCESO A LA
INFORMACIN
1. RELEVAMIENTO AUTOMTICO DE
DATOS
DIVISION INFORMTICA
JUDICIAL
FIN