Análisis Forense y Peritaje Informático

Anlisis Forense y Peritaje Informtico
Contenidos
- Qu es el Anlisis Forense?
- Objetivos
- Procesos tcnicos de la
informtica forense
- Metodologas en la Informtica
forense
- Procedimientos correctos
- Herramientas Software
- Herramientas para recuperar
contraseas.
- Explorar el disco duro y la
memoria
- Recuperar archivos y correos
borrados.
- Keyloggers
- Suites
- Anlisis forense y Legislacin
- Qu es el Peritaje Informtico?
- Qu es un Perito Informtico?
- Perfil del Perito informtico
- Peritaje Informtico, Direccin IP,
la huella digital telemtica del
criminal
- Los correos electrnicos como medio de

prueba judicial
- Fotografia Digital HD (High Dfinition)
Forense
- Qu es un malware? Propsitos
- Malware infeccioso: virus y gusanos
- Puertas traseras o backdoors
- Drive-by downloads
- Rootkits, Troyanos
- Spyware, adware y hijacking
- Keyloggers y stealers
- Botnets, Ransomware
- Grayware o greynet
- Vulnerabilidades usadas por el malware
- Eliminando cdigo sobre-privilegiado
- Programas anti-malware
- Mtodos de proteccin
Tags: sidejacking, bloatware, ransomware, anlisis forense, peritaje informtico, DLP, Data Loss Prevention,
prevencin prdida datos, pyme, cloud computing, malware, botnet, virus, spyware, rootkit, firewall,
ciberespionaje, phishing, smishing, BYOD, keylogger, big data , biometra, virus de la policia
Relacionados: Hacking, Hacking tico y Hacktivismo, Metadatos, Seguridad lgica y
Fsica, Biometra , Ciberataques , Ciberguerra , Cloud Computing , DLP: Data Loss Prevention, Prevencin de la
prdida de datos, Criptografa , Privacidad y Proteccin de Datos , Rootkit, Spyware, Scam, Hoax, Phishing,
Pharming e Ingenieria Social, Robo de identidad y Phishing , Botnets: Redes Zombies
Qu es el Anlisis Forense?
El cmputo forense, tambin llamado informtica forense, computacin forense, anlisis
forense digital o examinacin forense digital es la aplicacin de tcnicas cientficas y
analticas especializadas a infraestructura tecnolgica que permiten identificar, preservar,

analizar y presentar datos que sean vlidos dentro de un proceso legal. Recoge pruebas
con extremo cuidado, respetando la cadena de custodia de dichas evidencias.
Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos residuales,
autenticar datos y explicar las caractersticas tcnicas del uso aplicado a los datos y bienes
informticos.
La informtica forense es una disciplina relativamente joven que empez a practicarse en
los aos 80 con el anlisis directo de los medios digitales.
INFORMTICA FORENSE: EMPLEO DE FUTURO
El manejo cientfico de los datos que archivamos en formato digital ha alumbrado esta
profesin con futuro, la del informtico forense. Su nombre excita la imaginacin del asiduo
consumidor de series policiacas como C.S.I., y en la prctica su trabajo no dista mucho de
lo que vemos en las pelculas de espionaje. Igual que un forense analiza la escena de un
crimen, as escrutan estos analistas informticos los aparatos digitales.
"Un ordenador lo cuenta todo. Slo necesitamos hacer una copia del disco duro y crear
una lnea de tiempo de su uso para saber quin ha hecho qu en cada momento, incluso si
ha habido intentos de borrar las huellas", explica Daniel Creus. Estos informes tienen
validez como prueba para litigios judiciales en situaciones como fugas de informacin
corporativa a manos de empleados despechados o en divorcios.
Los expertos en seguridad informtica aseguran que los telfonos mviles de ltima
generacin son nuestro principal semillero de rastros digitales, as como el mayor boquete
de seguridad informtica con el que convivimos. En la prctica, los smart-phones son
ordenadores de bolsillo, donde no solo guardamos fotos personales, listas de contactos y
archivos de trabajo, sino tambin el correo, las contraseas y a veces hasta aplicaciones
para interactuar con el banco. Un simple hurto permite tener acceso a toda esa
informacin.
Relacionadas:
Oculus Rift (Gafas de Realidad Virtual) + Software de seguimiento ptico OptiTrack: Escenas del crimen en tres
dimensiones (3D)
Objetivos
La Informtica forense permite la solucin de conflictos tecnolgicos relacionados con
seguridad informtica y proteccin de datos. Gracias a ella, las empresas obtienen una
respuesta a problemas de privacidad,competencia desleal, fraude, robo de informacin
confidencial y/o espionaje industrial surgidos a travs de uso indebido de las tecnologas
de la informacin.
Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan
pruebas generadas y guardadas electrnicamente para que puedan ser aceptadas en un
proceso legal.
En un breve resumen podramos indicar los siguientes objetivos del peritaje informtico:
* Describir de manera clara el incidente de seguridad

* Describir posibles consecuencias del mismo
* Identificar al autor del incidente de seguridad
* Valorar la defensa jurdica / actuacin de las Fuerzas del Estado
* Post-mortem anlisis forense como medida de mejora en la poltica de seguridad actual.
Cuando una empresa contrata servicios de Informtica forense puede perseguir objetivos
preventivos, anticipndose al posible problema u objetivos correctivos, para una solucin
favorable una vez que la vulneracin y las infracciones ya se han producido.
El objetivo del anlisis forense de dispositivos electrnicos (ordenadores personales,
servidores, agendas electrnicas, telfonos mviles, etc.) es la identificacin de rastros
digitales que evidencien que cierto suceso ha ocurrido en el dispositivo. Estas evidencias
pueden ser usadas en un juicio.
El anlisis forense informtico permite obtener evidencias informticas de un fraude
garantizando que la fuente original de la informacin, el mvil, el ordenador, el disco, etc...
no se altera durante el proceso. Es fundamental que en cuanto se tenga la menor
sospecha de la comisin de un delito o de actividades susceptibles de ser investigadas,
efectuadas en el dispositivo electrnico, ste deje de utilizarse, ni siquiera debe apagarse,
y se contacte con profesionales para evitar la destruccin no intencionada de la prueba.
Una de las primeras acciones del equipo forense ser la duplicacin exacta de las fuentes
de datos (discos, memorias, etc.) con el objetivo de preservar las originales inalteradas y
manipular nicamente las copias para el anlisis. Para ello, se hace uso de distintas
tcnicas y dispositivos hardware que bloquean electrnicamente la escritura en el
dispositivo origen evitando cualquier tipo de alteracin no prevista del mismo.
Una vez disponemos de copias exactas de los dispositivos origen, se procede al anlisis
de los rastros en el mismo. Tratar de analizarse cualquier rastro que pueda identificarse,
memoria voltil, ficheros existentes, borrados, protegidos con contrasea, ocultos
mediante el uso de distintas tcnicas (caractersticas del sistema de ficheros, criptografa,
esteganografa), trfico de red, registros del sistema, etc.
El equipo forense redactar, despus del anlisis de las evidencias, un informe tcnico y
un informe ejecutivo. En el informe tcnico se detallar el proceso de anlisis con los
resultados obtenidos desde el punto de vista tcnico mientras que en el informe ejecutivo
se mostrar un anlisis no tcnico que pueda ser empleado por un tribunal.
El anlisis forense informtico es una prueba clave en numerosas ocasiones, como por
ejemplo:
- Revelacin de secretos, espionaje industrial y

confidencialidad
- Delitos econmicos, societarios o contra el mercado o
los consumidores
- Delitos contra la propiedad intelectual e industrial
- Vulneracin de la intimidad
- Sabotaje
- Uso indebido de equipos
- Amenazas, calumnias e injurias
- Cumplimiento de obligaciones y contratos
- Delitos contra la Propiedad Intelectual, en caso de
Software Pirata o documentos con el debido registro de
derechos de Autor.
- Robo de Propiedad Intelectual y Espionaje industrial
(que aunque no se crea, s existe en nuestro pas).
- Blanqueo de Dinero, va transferencia de fondos por Internet.
- Acoso Sexual (va e-mail); Chantaje o amenazas (va e-mail).
- Acceso no autorizado a propiedad intelectual.
- Corrupcin.
- Destruccin de Informacin Confidencial.
- Fraude (en apuestas, compras, etc. Va e-mail).
- Pornografa en todas sus formas, inclusive en la ms devastadora: Pornografa infantil.
No obstante, para un anlisis forense efectivo, la empresa debe tomar ciertas medidas
preventivas. Aqu recomendamos algunas de las ms relevantes:
- Identificar todos los dispositivos informticos de su empresa mediante tcnicas de
inventario: pegatinas o medios parecidos.
- Consultar con su departamento de Recursos Humanos / Asesora Laboral la obligacin
de que cada empleado firme un documento oficial de la empresa que vincule su actividad
con la estacin de trabajo y se defina de manera la poltica de la empresa en dispositivos
electrnicos citando claramente sus derechos.
- Implementar un sistema de inicio de sesin seguro en las estaciones de trabajo (DNI
digital o sistema biomtrico).
- Valorar la posibilidad de vincular la entrada / salida del personal mediante sistemas
biomtricos o de ficha con control de horarios.
- Es CRUCIAL guardar de forma permanente toda la actividad de sus sistemas
informticos mediante LOGS (ficheros de actividad) dentro de las posibilidades de cada
organizacin. En este punto sera recomendable una consultora de sistemas.
- Tener actualizada la documentacin respecto a la LOPD (Ley Organica Proteccin de
Datos) dentro de las posibilidades de la organizacin.
Relacionadas:
Detenidos dos trabajadores por instalar un keylogger espa en su empresa. Los agentes logran demostrar su
implicacin gracias al estudio forense.
Inaugurado el Centro Nacional de Excelencia en Ciberseguridad de la UAM: El centro est dirigido por el
Instituto de Ciencias Forenses de la UAM en colaboracin con la empresa S21sec, una compaa espaola
especializada en servicios y productos de seguridad digital, y el Ministerio de Interior a travs de la Polica
Nacional y de la Guardia Civil.
Procesos tcnicos de la informtica forense

Para obtener pruebas, los investigadores examinaban la "vida interior" de los ordenadores
con ayuda de las herramientas de administracin del sistema (Sysadmin). No obstante,
esa forma de proceder poda ocasionar la modificacin de los datos, lo que a su vez poda
dar lugar a alegaciones de falsificacin de las pruebas.
Ello condujo a la adopcin de otro enfoque, el anlisis forense,
que se compone de tres pasos:
- Identificacin y preservacin de los datos con el fin de crear
un duplicado forense, es decir, una copia exacta de los datos de
un soporte digital, sin modificar los datos originales.
- Anlisis de los datos as protegidos por medio de un software
especial y de mtodos para la recopilacin de pruebas. Medidas
tpicas son, por ejemplo, la bsqueda de contraseas, la recuperacin de archivos
borrados, la obtencin de informacin del registro de Windows (base de datos de registro),
etc.
- Elaboracin de un informe por escrito sobre las evidencias descubiertas en el anlisis
y en el que se incluyan tambin las conclusiones extradas del estudio de los datos y de la
reconstruccin de los hechos o incidentes.
Para preservar y analizar datos en el contexto de una investigacin se requiere un
software muy especializado. Los jueces deben poder confiar en que las herramientas de
anlisis forense empleadas en la investigacin son fiables y satisfacen los requisitos.
En EE. UU. se emplea el estndar de Daubert para regular la admisibilidad de las
herramientas y procesos forenses. Este estndar exige que la tecnologa y las
herramientas de software empleadas en una investigacin sean sometidas a una prueba
emprica y comprobadas por especialistas, y que los resultados obtenidos puedan ser
reproducidos por otros expertos.
Los aspectos tcnicos de la informtica forense estn determinados tambin por el tipo de
soportes digitales que se investigue. Por ello, la informtica forense se divide en varias
ramas que se ocupan del anlisis de ordenadores, redes, bases de datos y dispositivos
mviles con fines forenses. sta ltima en especial tiene que hacer frente a los desafos
que se derivan de la naturaleza propietaria de los aparatos mviles.
(Relacionada: Metadatos, Privacidad y Ciberespionaje gubernamental)
Metodologas en la Informtica forense

Las distintas metodologas forenses incluyen la recogida segura de datos de diferentes
medios digitales y evidencias digitales, sin alterar los datos de origen.
Cada fuente de informacin se cataloga preparndola para su posterior anlisis y se
documenta cada prueba aportada. Las evidencias digitales recabadas permiten elaborar
un dictamen claro, conciso, fundamentado y con justificacin de las hiptesis que en l se

barajan a partir de las pruebas recogidas.
Procedimientos correctos
Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales para no
vulnerar en ningn momento los derechos de terceros que puedan verse afectados. Ello
para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan
constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un
resultado favorable.
En resumen, estamos hablando de la utilizacin de la informtica con una finalidad
preventiva, en primer trmino.
Como medida preventiva sirve a las empresas para auditar, mediante la prctica de
diversas pruebas tcnicas, que los mecanismos de proteccin instalados y las condiciones
de seguridad aplicadas a los sistemas de informacin son suficientes.
Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas.
Cuestin que pasa por redactar y elaborar las oportunas polticas sobre uso de los
sistemas de informacin facilitados a los empleados para no atentar contra el derecho a la
intimidad de esas personas.
Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informtica
forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias
electrnicas, el origen del ataque (si es una vulneracin externa de la seguridad) o las
posibles alteraciones, manipulaciones, fugas o
destrucciones de datos a nivel interno de la
empresa para determinar las actividades
realizadas desde uno o varios equipos
concretos.
Herramientas Software
Aqu exponemos algunas utilidades prcticas empleando software, para recuperar archivos
y correos borrados, rescatar las contraseas, escarbar en cachs e historiales, buscar
documentos y adjuntos de correo, buscar clasificar y recuperar imgenes, explorar disco
duro y memoria, y alguna Suite: OSForensics y Windows File Analyzer.
Recuperacin de Datos: Contraseas y Ficheros

Es evidente que las necesidades en la investigacin forense son distintas a las del usuario
o internauta comn. Lo que s es comn es la necesidad en determinadas circunstancias
de recuperar la informacin borrada, desaparecida o destruida voluntaria o
involuntariamente.
Como norma general existen recomendaciones previas. La mejor solucin ante una
prdida de datos es la PREVENCIN.
Ahora bien: es posible recuperar informacin de un disco duro formateado?
Los expertos lo tienen claro: el denominado borrado seguro impide el rescate de datos.
Eso s, mediante la aplicacin de tcnicas forenses informticas se podra recuperar parte
del contenido albergado en un disco duro de un ordenador en caso de realizar un
formateo.
Los expertos distinguen entre dos tipos de borrados: el formateo y el borrado seguro, este
ltimo resultara imposible a la hora de obtener material anteriormente alojado.
Se habla de formateo cuando lo que se produce es eliminar el ndice de donde estn
almacenados los archivos. Si se borra solo el ndice, los archivos permaneceran y una
empresa de recuperacin de datos podra recuperarlos.
Sin embargo, si se realiza la opcin de borrado de forma segura (una operacin que se
tendra que contar con herramientas y software especializado), momento en el que se
sobreescribe la informacin existente, imposibilita la recuperacin de datos
posteriormente porque se cambia el dato almacenado.
Para entendernos. El sistema utilizado para este borrado realiza una pasada, sector a
sector a lo largo del disco duro marcando con un carcter distinto que imposibilita la
recuperacin.
El borrado seguro o irreversible est al alcance de cualquiera. El borrado seguro es dejar
el disco como un solar, pero es una forma burda de borrar porque es entregar un disco
totalmente vaco. Se podra realizar un borrado selectivo pero demostrara que se ha
manipulado el equipo, ya que dejara rastro y un tcnico especializado en estas lides
podra averiguar las fechas en las que se produjeron los borrados, no as acceder al
fichero en cuestin. Habra que hacerlo muy bien y mediante tcnicas antiforenses para
que no se note.
Mucha gente cree que formateando el ordenador o borrando la papelera de reciclaje se
borran las cosas, pero no es as. Si el borrado es un borrado seguro, que hace que se
cojan todas las pginas del libro y se pone 'tippex' en todas las palabras, se dejan todas
las pginas en blanco, por lo que es imposible recuperar ms que pequeas y minsculas
trazas de informacin que en muchas ocasiones no van a servir para nada. Pero para
hacer un borrado seguro se requiere de un mano experta, manifiesta Daniel O'Grady,
director tcnico de Har2bit.
La informacin borrada se puede recuperar en caso haber utilizado herramientas
habituales de usuario, pero los expertos advierten que no es posible rescatar los datos
si se han usado mecanismos ms avanzados de tipo profesional. Cuanto ms tiempo pasa
y est en uso ese ordenador, ms informacin borrada se est perdiendo. Si han
introducido nuevos datos se va a perder gradualmente la informacin anteriormente
contenida, pero eso no quiere quiere que no se pueda recuperar nada, solo depende de la
cantidad de material que haya introducido posteriormente.
Segn Csar Garca Jaramillo, director general de Onretrieval, el protocolo de actuacin
indica que antes de realizar el borrado seguro se hace una copia de seguridad. Las
empresas guardan una copia de seguridad, aplicando la Ley de Proteccin de Datos.
Deben estar protegidas de terceros. Por experiencia, las empresas que recurren a
borrados permanentes suelen tener una copia de seguridad porque saben que no hay
vuelta atrs. Son procesos de borrado completamente eficaces, insiste.
Aqu ofrecemos diversos consejos generales para garantizar sus datos ante posibles
desastres, antes de tener que optar por la Recuperacin De Datos:
(ver completo)
1 ) COPIAS DE SEGURIDAD
2) ANTI-DESASTRE
3) FILTROS DE CORRIENTE y SAI's
4) ANTIVIRUS ACTUALIZADO
5) FIREWALL
6) FILTRO DE CORREO ANTISPAM
Herramientas para recuperar contraseas.

La contrasea es un sistema de proteccin usado por muchos sitios web, programas de
mensajera y herramientas ofimticas. Recolectar las claves existentes permite rescatar
mucha informacin valiosa.
- BrowserPasswordDecryptor recupera todas las contraseas almacenadas en los
navegadores web
- MessenPass hace otro tanto con los usuarios y contraseas de Messenger, ICQ, Yahoo!
- Mail PassView rescata las claves de las cuentas de correo locales (en Outlook, Eudora,
Thunderbird, etc.)
- BulletsPassView , ShoWin y AsteriskKey desvelan las contraseas ocultas tras asteriscos
- WirelessKeyDump obtiene las contraseas de las redes WiFi
- FireMaster intenta recuperar la contrasea maestra de Firefox
Nirsoft y SecurityXploded tienen muchas herramientas dedicadas exclusivamente a la

recuperacin de contraseas, casi todas ejecutables desde memorias USB. Conviene
recordar que solo obtienen contraseas almacenadas sin proteccin y que para romper el
cifrado es necesario recurrir a ataques criptogrficos(por ejemplo, con Cain & Abel )
Explorar el disco duro y la memoria

Al examinar un ordenador, necesitars una visin global de carpetas y
archivos; SpaceSniffer , Scanner o WinDirStat Portableofrecen resmenes rpidos del
reparto de espacio en los discos duros. Para crear una base de datos de carpetas,
usagetFolder y FileLister.
Por ltimo, puede darse el caso de que el ordenador al que has accedido est todava
encendido y con programas abiertos. Comprueba qu archivos estn en uso
con OpenedFilesView y analiza la memoria con la ayuda de un editor hexadecimal (por
ejemplo, WinHex o HxD ).
Ms avanzados son MoonSols Windows Memory Toolkit y Volatility Framework , que
analizan volcados de memoria y ficheros de hibernacin de Windows, trozos de memoria
congelados que pueden contener informacin valiosa.
Herramientas para recuperar datos: archivos y correos borrados.

El mercado ofrece un amplio elenco de herramientas que prometen recuperar archivos
borrados (accidentalmente, por virus u otras causas) de las unidades de almacenamiento,
sean discos duros, pendrives o unidades extrables de smartphones o cmaras.
A menos que alguien lleve a cabo limpiezas peridicas del espacio vaco (por ejemplo,
con Disk Wipe ) o trabaje en entornos temporales (como Live-CD o mquinas virtuales),
recuperar los archivos borrados no solo es posible, sino tambin muy sencillo, aunque,
segn la herramienta y condiciones, quiz no siempre con los resultados esperados.
Algunas de las herramientas ms eficaces para este cometido
son DiskDigger, Recuva, Pandora Recovery o TestDisk, que rescata incluso particiones
perdidas y sectores de arranque.
Si los datos se encuentran en CD y DVD ilegibles, vale la pena intentar una lectura de bajo
nivel con ISOBuster. Para correos borrados en Outlook Express, Format Recovery es una
buena opcin gratuita.
Por otro lado, diversas comunidades profesionales en el testeo de aplicaciones han
probado cinco soluciones gratuitas para Windows con el objetivo de probar dnde
llegan este tipo de herramientas en la recuperacin de datos, su rapidez y eficacia.
La prueba real se realiz sobre un pendrive formateado en el que copiaron 67 archivos en
total de todo tipo de formatos (pdf, doc, docx, rtf, epub, azw3 (Kindle eBooks), iso, mp3,
jpg, nef, pptx, exe, avi, mp4 , 7z, tar y zip).
Los archivos fueron borrados, copiando a continuacin 10 nuevos archivos que ocuparan
parte del espacio del disco ya quela sobreescritura es un factor esencial para
recuperacin de datos.
Las soluciones gratuitas utilizadas fueron:
- Piriform Recuva
- Disk Drill
- PC Inspector File Recovery
- Puran File Recovery
- Wise Data Recovery
Todas las soluciones funcionan de la misma forma. Realizan un escaneo previo de la
unidad de almacenamiento y muestran el estado de los archivos borrados que podran ser
recuperados en una interfaz clara y sencilla de entender y manejar.
Ninguna de ellas fue capaz de recuperar todos los archivos borrados y algunos de los
recuperados estaban corruptos. Tambin son destacables las diferencias en el tiempo de
recuperacin. En un pendrive puede ser relativamente rpido pero en un disco duro
pueden tardar bastante tiempo.
Resultados aceptables en eficacia y en tiempo de recuperacin de Recuva y Puran, los

dos recomendados aunque hay que tener en cuenta que se trata de soluciones gratuitas y
es probable que aplicaciones comerciales sean capaces de ofrecer una mayor eficacia, sin
llegar a servicios profesionales que aplican tcnicas forenses pero que se salen fuera del
mercado de consumo.
En general, la mejor recomendacin ante una prdida de archivos en el disco, sea por
borrado accidental, por virus u otras causas, es cesar de inmediato el uso de esa unidad
para tener ms posibilidades de recuperacin. La sobreescritura en los espacios del disco
donde se han borrado los archivos es la causa principal para que no podamos
recuperarlos mediante este tipo de herramientas.
Por supuesto el uso de la funcin de copias de seguridad, una tarea imprescindible
para un usuario y profesional que pretenda proteger la informacin personal y corporativa
de un equipo informtico.
Ningn equipo est a salvo de la prdida de datos, por un problema fsico en las
memorias, por una corrupcin del sistema operativo, por una infeccin de malware o por
un borrado accidental de archivos.
Utilizar esta funcin de backup permitir mantener a salvo los datos ms preciados y
evitaremos tener que utilizar estas herramientas de recuperacin de datos (gratuitas) que
no son tan efectivas como nos gustara.
Keyloggers
(Ver tambin el documento ampliado sobre Keyloggers)
El software keylogger, tambin conocido como Software de registro de actividades del

Computador o keylogger, es un programa que registra secretamente todas las
actividades que tuvo lugar en un equipo, en redes de computadores, de manera individual
o corporativa.
Y cuando se dice todas las actividades, se refiere a cada golpe de teclado
mecanografiados, el uso del internet, los sitios web visitados, las conversaciones de chat,
palabras claves, documentos impresos, la creacin o modificacin de archivos,
imgenes, correos enviados y recibidos, que dependiendo de la sofisticacin del software
keylogger que es usado, permiten realizar un anlisis de lo que ocurre en un computador
de un empleado en particular o en redes de computadoras en empresas de gran volumen.
1) REFOG
2) Super Free Keylogger
3) Revealer Keylogger Free Edition
Suites
OSForensics es una suite de informtica forense con una serie de utilidades nicas:
buscador de texto, ndice de contenidos del disco, analizador de actividad reciente,
bsqueda de archivos borrados o discordantes y visor de memoria y disco.
La particularidad de OSForensics, adems de concentrar varias herramientas en una sola
ventana, es su gestor de casos, til para organizar los datos de distintas investigaciones.
Ms sencillo es Windows File Analyzer, que explora en las bases de datos de miniaturas
(los archivos Thumbs.db), archivos de precarga (Prefetch), documentos recientes, historial
de Internet Explorer y basura de la Papelera.
WinHex: Software para informtica forense y recuperacin de archivos, Editor
Hexadecimal de Archivos, Discos y RAM. Es un editor hexadecimal universal, y al mismo
tiempo posiblemente la ms potente utilidad de sistema jams creada. Apropiado para
informtica forense, recuperacin de archivos, peritaje informtico, procesamiento de datos
de bajo nivel y seguridad informtica.
Autopsy Forensic Browser
OXYGEN FORENSIC SUITE Esta suite es interesante para el anlisis forense del iPhone
(para Android: MOBILedit!Forensic).
Para finalizar, hay que tener en cuenta que algunas de herramientas se distribuyen
libremente, pero la legitimidad de su uso depende exclusivamente del usuario. A menos
que se este autorizado para acceder a un equipo informtico y extraer informacin,
conviene no emplearlas.
Auditora
Security Analysis Tool for Auditing Networks -- SATAN (Security Analysis Tool for
Auditing Network, Herramienta de Anlisis de Seguridad para la Auditora de Redes):
Aplicacin creada por Farmer y Venema con objeto de detectar fallos en la seguridad de
las redes de comunicacin.
(Ver otras Tcnicas de ciberataques y su Terminologa asociada y Consejos y Banca en lnea / Comercio
electrnico / Skimming )
Peritaje informtico y Legislacin

En la publicacin del Cdigo Penal espaol en 1995 no se recogan ni definan los delitos
informticos como tales, debiendo acudir a otras normativas y definiciones. Las
modificaciones posteriores del Cdigo Penal se refieren, dentro del artculo 248.2 , a las
manipulaciones informticas como una especialidad de estafas y otros tipos.
Existe un cuerpo legislativo, fuera del mbito penal, que complementa a los tipos penales y
que pretende regular aspectos de la Sociedad de la Informacin como son la Ley de
Servicios para la Sociedad de la Informacin y de comercio electrnico, la Ley Orgnica de
Proteccin de Datos, el Reglamento de medidas de seguridad de los ficheros
automatizados que contengan datos de carcter personal, la Ley General de
Telecomunicaciones, la Ley de Propiedad Intelectual o la Ley de Firma Electrnica.
La facilidad para cometer un delito informtico con un click y para borrar las huellas
dejadas con otro click, hace de esta actividad un negocio muy lucrativo y casi exento de
riesgos al utilizar el anonimato suplantando personalidades, usando de nicks o apodos,
delinquiendo desde cibercafs, blogs, foros, chats, etc., o empleando tcnicas propiamente
dichas que la informtica ensea y que prcticamente hacen annima su utilizacin, como
pueden ser los proxys, anonimizadores web, servidores de correo web, remailers, dialers,
o tcnicas de por s delictivas como cierto tipo de malware, como los keyloggers.
Frente a esta realidad, la aplicacin de la ley est limitada por las fronteras fsicas de los
pases a unas codificaciones legales del siglo pasado, con parches poco consistentes que
dejan desprotegidos a particulares y empresas.
(Ver ms sobre Ciberseguridad y Legislacin)
Qu es el Peritaje Informtico?
El peritaje informtico es una disciplina que no es reciente, pero que ltimamente ha
experimentado un auge exponencial debido, como decimos, al avance de Internet y de la
informtica en general.
Si usted o su empresa est envuelto en un caso judicial relacionado con la informtica es
posible que necesite un perito informtico de parte que realice una prueba pericial sobre
las evidencias del caso. Un equipo de peritos profesionales (Ingenieros Informticos
Superiores y de Telecomunicaciones) pueden ofrecerle un anlisis detallado y una
explicacin clara y concisa de los resultados.
Los peritajes informticos pueden ser judiciales o de parte. En los peritajes judiciales, el
perito informtico es nombrado por el juzgado, y en los de parte, el perito va nombrado por
una de las partes litigantes.
En los ltimos aos, el nmero de casos en juicios relacionados con la informtica se ha
multiplicado. En ocasiones, ni los abogados ni los jueces son capaces, al no ser su
especialidad, de entender los detalles de un caso, detalles que cambian el escenario
completamente. En estos casos, un perito profesional, con los conocimientos necesarios
en informtica y el lenguaje propio de un juicio es capaz de aclarar a las partes la realidad
sobre determinadas evidencias.
Casos sobre:
- Revelacin de secretos, espionaje industrial y confidencialidad
- Delitos econmicos, societarios o contra el mercado o los consumidores
- Delitos contra la propiedad intelectual e industrial
- Vulneracin de la intimidad
- Sabotaje
- Uso indebido de equipos
- Amenazas, calumnias e injurias
- Cumplimiento de obligaciones y contratos
El peritaje informtico requiere de constante actualizacin y conocimiento experto, reas
que solo pueden ser cubiertas por un perito profesional.
Un equipo de peritaje informtico debera ser experto en recuperacin de datos en
sistemas daados:
- Recuperacin de ficheros borrados
- Acceso a datos en discos daados fsicamente
Adems deberan dar mximas garantas siendo colegiados y a ser posible estando
presentes en el Turno de Actuacin Profesional. Esto le permitir que el dictamen pericial
vaya adems visado por un colegio profesional. Por otro lado sera deseable que
estuvieran certificados como Auditores de Sistemas de Informacin o equivalentes.
Qu es un Perito Informtico?
Las Nuevas Tecnologas avanzan vertiginosamente y, al mismo tiempo, esos avances se
integran cada vez ms en nuestra vida cotidiana. Crece la oferta de medios y dispositivos
desde los que, de forma sencilla, podemos interactuar con infinidad de personas y
aplicaciones en redes informticas, donde de forma paralela cada da nacen
nuevos Ciberdelincuentes: Profesionales de la estafa ciberntica, que se amparan en el
anonimato de la red y la brecha digital.
Esta situacin general requiere estar asesorado por Expertos Tecnolgicos y poder actuar
con garantas ante los posibles delitos informticos, cada vez mas variados, que nos
puedan afectar tanto a nivel profesional como particular.
Esos expertos son los Peritos Informticos, especializados en distintos campos de la
Ingeniera Informtica, que pueden auditar y ayudar a esclarecer las incidencias ocurridas
en el mbito de las TICs'. Como ejemplo podemos citar casos de uso indebido del material
informtico, demandas por incumplimiento de contrato en la creacin de aplicaciones
informticas, fraude a travs de las redes de comunicaciones, deteccin de falsificaciones,
proteccin de datos, seguridad corporativa, tasacin y valoracin software/hardware,
defensa jurdica
Este nuevo perfil profesional tiene como principal objetivo asesorar al juez, fiscal o
abogados respecto a temas relacionados con la informtica, tras analizar elementos
(dispositivos, ficheros, datos) que puedan constituir una prueba o indicio significativo para
la resolucin de cualquier pleito para el que el perito se haya requerido, aportando
seguridad, conocimientos y demostrando aquellos aspectos tecnolgicos que no estn
obligados a conocer profesionales del derecho o tribunales.
El Perito Informtico es un profesional que desarrolla su trabajo dentro del campo de la
ingeniera informtica. Tiene que haber realizado el curso oficial de peritajes de su Colegio
y estar colegiado en el mismo, en pleno ejercicio de su actividad profesional (es decir, no
haber sido apartado de la profesin por el Colegio), y adems tiene que haber contratado
un seguro de responsabilidad civil.
Para ser perito informtico es necesario estar en posesin del ttulo de ingeniero o
ingeniero tcnico en informtica, colegiarse en un colegio profesional de ingeniera o
ingeniera tcnica en informtica y realizar el curso de peritajes organizado por el Colegio.
A partir de aqu, el perito ser incluido en las listas de peritaje propias del Colegio al que
est adscrito, y tambin en las listas que dicho Colegio enviar a los juzgados de su
comunidad autnoma.
El perito informtico es un investigador forense capaz de desarrollar actividades diversas:
puede decidir si un programa informtico ha sido plagiado de otro, si se han revelado
secretos de empresa, si material personal no autorizado ha sido publicado y distribuido a
travs de redes P2P o si ha habido un incumpliento de contrato por parte de una empresa
de servicios, entre otras. Para esto cuenta con una excelente formacin universitaria en
informtica que le permite analizar todas las evidencias electrnicas y sacar las pertinentes
conclusiones que presentar ante el cliente y/o el juez.
Para poder ejercer se necesita la contratacin de un seguro de responsabilidad civil que se
haga cargo de las eventuales indemnizaciones civiles a las que
sea condenado el perito debido al ejercicio de su actividad.
Perfil del Perito informtico

Los delitos informticos nos conducen a la figura del Perito
informtico y Tecnolgico, en sus diferentes tipologas: Forense
Informtico, de Gestin (Management), Auditor, Tasador,
Mediador; segn las distintas actividades que se pueden
realizar en funcin de su formacin, especializacin y
experiencia.
En cualquiera de estas modalidades el trabajo del perito
tecnolgico consiste en un estudio de cmo ocurre un incidente
informtico, quin lo ejecuta, por qu y con qu objetivo. El
anlisis se realiza siempre en base a la recoleccin de Evidencias Digitales, que podemos
definir como cualquier informacin contrastable encontrada en un sistema informtico, con
datos relevantes para el proceso en estudio y que puede utilizarse como medio de prueba.
Para ejercer como Perito Judicial Informtico es indispensable una certificacin
homologada por una institucin reconocida, Asociacin y/o Colegio Profesional, que
acredite sus conocimientos y su pericia.
Esta certificacin, junto con su titulacin universitaria, (principalmente ingeniero, licenciado
o ingeniero tcnico en informtica), le acredita como profesional experto con amplios
conocimientos en el mbito informtico y de la legalidad, para avalar cualquier prueba o
hecho que pueda ser imputable como delito.
Centrndonos en la jurisprudencia, el Perito Informtico o Tecnolgico es un profesional
que nombra la autoridad del proceso, con el fin de que a travs de sus conocimientos
tcnicos pueda dictaminar de forma objetiva y veraz sobre aspectos determinados
relacionados con los hechos en estudio.
Como conclusin, el trabajo del perito informtico no es distinto al de otros peritos
judiciales, y se basa, igualmente, en la recopilacin de informacin, su anlisis para
obtener y explicar aquello que el juez le ha solicitado y, finalmente, emitir su dictamen,
donde deben plasmarse todas las determinaciones de su trabajo de investigacin.
Peritaje Informtico, Direccin

IP, la huella digital telemtica
del criminal.
En la Sentencia de Tribunal Supremo STS 8316/2012
resultaron absueltos dos acusados por delitos de estafa
realizada por medios telemticos. Lo interesante de esta
sentencia desde el punto de vista de peritaje informtico
es que se pone en clara duda que el hecho de que se
pueda relacionar una operacin fraudulenta a una direccin IP, por ello el propietario o
usuario asignado a la misma deba ser inequvocamente el delincuente y autor de la
operacin.
Esta relacin unvoca aparentemente rotunda entre la direccin IP y el usuario de la
misma, puede presentar dudas razonables sobre la veracidad y certeza a la hora de
imputar la culpabilidad a un individuo (el propietario del dispositivo). Para establecer esta
duda razonable sera necesario actuar en dos frentes en paralelo, por un lado en el
aspecto tecnolgico, por el otro lado, en el perfil y los aspectos circunstanciales del propio
individuo.
Considerando los aspectos meramente tecnolgicos, se ha de ser consciente que los
delincuentes cibernticos poseen un repertorio de herramientas y mtodos para hacerse
con la identificacin y el uso de direcciones IP de terceros y
operar a travs de ellas, tales como:
- Sistemas Desactualizados o no protegidos.
- Puertos accesibles, vulnerabilidades del Sistema.
- Redes Wifis abiertas o protecciones WAP o WEP poco
seguras.
- Malwares, Troyanos, backdoors, botnets, etc.
Por lo tanto para poder establecer una duda razonable
sobre el propietario de la direccin IPcomo presunto
delincuente, se ha de analizar el PC y los dispositivos en
bsqueda de estas vulnerabilidades que permitiran
al ciberdelincuente la usurpacin y utilizacin ilegtima de la direccin IP para cometer el
delito.
Considerando el perfil y los aspectos circunstanciales del individuo acusado y para ello se
ha de focalizar en encontrar evidencias de:
- Ausencia de lucro personal en la operacin, por lo tanto ausencia de dolo respecto al
acusado. Normalmente de hecho ni tan siquiera sospecha que se han realizado
transacciones econmicas desde su equipo.
- La no posesin de conocimientos tcnicos necesarios e imprescindibles para obtener
claves bancarias y con ello la posibilidad de ejecucin de la estafa.
- El no hallazgo de indicios de realizacin de la operacin en el examen del equipo
personal del individuo.
Ninguno de estos elementos (ni tcnicos ni circunstanciales) por s mismos son
determinantes para el establecimiento de la duda razonable sobre la culpabilidad del
individuo, pero trabajando todas estas posibilidades desde un punto global de conjunto se
puede evidenciar ms all de la duda razonable si el presunto culpable propietario de la
direccin IP involucrada, es realmente un delincuente, o lo que cabra esperar, una vctima
ms de la estafa.
As pues desde el punto de vista del informe pericial y de la defensa del individuo se ha de
considerar las posibles vas expuestas.
(Relacionado: Legislacin, Direccin IP y Redes P2P)
Los correos electrnicos como medio de prueba

judicial
En los tiempos que corren est generalizado como canal de comunicacin habitual el uso
del e-mail as como de otras formas de comunicacin electrnica y, ms concretamente en
el mbito empresarial y profesional, como forma incluso de negociacin y cierre de muchas
transacciones.
A tenor del artculo 3.5 de la Ley 59/2003 de Firma Electrnica (se suelen usar de forma
indistinta los trminos firma electrnica y firma digital), se considera documento
electrnico la informacin de cualquier naturaleza en forma electrnica, archivada en un
soporte electrnico segn un formato determinado y susceptible de identificacin y
tratamiento diferenciado. Por su parte, nuestra Ley de Enjuiciamiento Civil en el artculo
299 admite aportar como medio de prueba los medios de reproduccin de la palabra, el
sonido y la imagen, as como los instrumentos que permiten archivar y conocer o
reproducir palabras, datos, cifras.
Los medios de prueba son aquellos con los que las partes pueden demostrar al rgano
judicial la verdad de un hecho alegado. Por tanto, la primera conclusin a la que podemos
llegar es que los correos electrnicos pueden ser aportados como prueba a juicio, si bien
al no estar regulados legalmente este tipo de medio probatorio, son de aquellos que el
Juez valora conforme a su conviccin o sana crtica y fija libremente su fuerza probatoria.
Es por ello que ser pues necesario aportar al Juez la mayor cantidad de evidencias que
acrediten que el e-mail ha sido enviado, a qu destinatario y quien ha sido el emisor, su
autenticidad, integridad y literalidad. A tales efectos, en la actualidad ya existen sistemas
de firma digital y empresas que se dedican a prestar tales servicios.
En el supuesto de que el e-mail aportado no sea impugnado por la parte contraria, como
cualquier otro documento privado que es, legalmente tendr el mismo valor probatorio que
un documento pblico. Ahora bien, en caso de que sea impugnado tendremos que recurrir
a la prueba pericial oportuna la que normalmente se centra en acreditar lo siguiente:
- El emisor del correo y la identidad de la direccin de correo.
- La identidad del quipo desde el que se emite el correo (Mac address).
- La identidad del servidor del correo saliente.
- La identidad del servidor del correo entrante.
- La fecha y hora de envo y recepcin.
- La cadena de custodia de las fuentes de informacin a analizar (la cabecera del
correo y metadatos de los correos adjuntados).
- Los servidores de correo.
En definitiva, si bien los correos electrnicos son un medio de prueba que se puede
perfectamente aportar en un proceso judicial, en caso de que sea impugnado por la parte
contraria, no tendremos ms remedio que acudir a una prueba pericial siendo fundamental
para que sean considerados por el rgano Juzgador la conclusin del informe que emita el
perito sobre si el e-mail aportado ha sido manipulado o si por el contrario verifica que
mantiene su integridad respecto a su versin original.
Fotografia Digital HD (High Dfinition) Forense

Julio Verne, en la novela Los hermanos Kip, libra a sus dos protagonistas de una
acusacin de asesinato con uno de esos trucos en los que genialmente mezclaba ciencia
con ficcin: una fotografa del rostro del asesinado mostraba la imagen de los verdaderos
culpables fijada en la retina del muerto. Los optogramas, como as bautizaron a este
supuesto fenmeno, estuvieron tan de moda a finales del siglo XIX que hasta Scotland
Yard los hizo para intentar capturar a Jack el Destripador.
Aunque todo era superchera propia de la pseudociencia de esa poca, la fotografa digital
puede darle una segunda oportunidad a los optogramas. Dos investigadores britnicos han
demostrado que se puede identificar lo que ve una persona fotografiada haciendo zoom en
la fotografa y, por fortuna, sin necesidad de que est muerto.
Con una cmara digital de las buenas, con una resolucin de 39 megapxeles (Mpx), Rob
Jenkins, de la Universidad de York, y Christie Kerr, de la de Glasgow, realizaron una serie
de fotografas a dos grupos de voluntarios para dos experimentos. En el primero, situaron
en el campo de visin del fotografiado a varias personas, unas conocidas y otras
desconocidas para l y, claro al fotgrafo, que era uno de los investigadores.
Las fotos, de tamao carn, tenan una muy buena resolucin, unos 12 Mpx de media. Las
fueron ampliando hasta llegar a la crnea de uno de los ojos del fotografiado. Tras
pasarlas por el PhotoShop, consiguieron localizar los rostros de los presentes en la
escena. Eran apenas tres centenares de pxeles por rostro pero suficientes para que, al
ponerlas junto a una imagen de mejor calidad, los voluntarios pudieran reconocer a los
conocidos en el 84% de los casos e identificar a la mitad de los desconocidos.
En un segundo experimento con nuevos voluntarios de la facultad donde Jenkins da

clases, los sujetos tenan que identificarle en una serie de seis imgenes donde las cinco
restantes eran de personas ajenas a la universidad. Pero esta vez no haba una foto buena
con la que comparar. En el 90% de los casos, los participantes reconocieron al profesor y
slo un 10% dio un falso positivo, es decir reconoci a alguno de los desconocidos.
La pupila es como un espejo negro. Para mejorar la imagen tienes que ampliarla y ajustar
el contraste. La imagen del rostro recuperada del reflejo en el ojo del sujeto es unas
30.000 veces ms pequea que su cara, recuerda Jenkins. Esto supone el 0,003% de la
imagen. An as, nuestros resultados destacan la gran capacidad que tenemos para
reconocer rostros humanos y destapa el potencial de la fotografa de alta resolucin,
aade en una nota.
An a pesar de la escasez de pxeles y una resolucin psima, los humanos podemos
reconocer otros rostros y esa capacidad aumenta dramticamente si no es la primera vez
que lo vemos. Por eso, Jenkins y Kerr creen que este trabajo, publicado en PloS ONE
puede ser muy til para los forenses. En muchos delitos, como el secuestro o la grabacin
de pornografa infantil, las imgenes podran llevar a hasta los autores.
Scotland Yard nunca pudo capturar a Jack el Destripador con los optogramas. Pero ahora
no se trata de recuperar su imagen de la pupila de las asesinadas sino de descubrir al
criminal en los ojos de la vctima fotografiada.
Relacionadas:
Fotografa forense: manipulacin digital y Error Level Analysis
Qu es un Malware?
(Ver documento ampliado sobre Malware)
Malware (del ingls malicious software), tambin llamado badware, cdigo maligno,
software malicioso o software malintencionado, es un tipo de software que tiene como
objetivo infiltrarse o daar una computadora o Sistema de informacin sin el
consentimiento de su propietario.
El trmino malware es muy utilizado por profesionales de la informtica para referirse a
una variedad de software hostil, intrusivo o molesto.
El trmino virus informtico suele aplicarse de forma incorrecta para referirse a todos los
tipos de malware, incluidos los virus verdaderos.
El software se considera malware en funcin de los efectos que, pensados por el creador,
provoque en un computador. El trmino malware incluye virus, gusanos, troyanos, la mayor
parte de los rootkits, scareware, spyware, adware intrusivo,crimeware y otros softwares
maliciosos e indeseables.
Malware no es lo mismo que software defectuoso; este ltimo contiene bugs
peligrosos, pero no de forma intencionada.
Los resultados publicados por diversas compaas antivirus internacionales sugieren que
el ritmo al que se ponen en circulacin cdigos maliciosos y otros programas no
deseados podra haber superado al de las aplicaciones legtimas. Segn un reporte de FSecure, Se produjo tanto malware en un ao como en los 20 aos anteriores juntos.
Segn Panda Security, durante 12 meses se pueden crear hasta 73.000 nuevos
ejemplares de amenazas informticas por da, 10.000 ms como media de crecimiento
anual. De stas, el 73 por ciento son troyanos y crecen de forma exponencial los del
subtipo downloaders.
PROPSITO
Haciendo un poco de historia, algunos de los primeros programas infecciosos, incluido el

primer gusano de Internet y algunos virus del antiguo MS-DOS, fueron elaborados como
experimentos, como bromas o simplemente como algo molesto, no para causar graves
daos en las computadoras. En algunos casos el programador no se daba cuenta de
cunto dao poda hacer su creacin.
Algunos jvenes que estaban aprendiendo sobre los virus los crearon con el nico
propsito de demostrar que podan hacerlo o simplemente para ver con qu velocidad se
propagaban. Incluso en 1999 un virus tan extendido como Melissa pareca haber sido
elaborado tan slo como una travesura.
El software diseado para causar daos o prdida de datos suele estar relacionado con
actos de vandalismo. Muchos virus son diseados para destruir archivos en discos duros o
para corromper el sistema de archivos escribiendo datos invlidos.
Algunos gusanos son diseados para vandalizar pginas web dejando escrito el alias del
autor o del grupo por todos los sitios por donde pasan. Estos gusanos pueden parecer el
equivalente informtico del graffiti.
Sin embargo, debido al aumento de usuarios de Internet, el software malicioso ha llegado
a ser diseado para sacar beneficio de l, ya sea legal o ilegalmente. Desde hace ya ms
de una dcada, la mayor parte de los virus y gusanos han sido diseados para tomar
control de computadoras para su explotacin en el mercado negro y para el robo de datos
y perfiles personales. Estas computadoras infectadas ("computadoras zombie") son
usadas para el envo masivo de spam por email, para alojar datos ilegales
como pornografa infantil, o para unirse en ataques DDoS como forma de extorsin entre
otras cosas.
Hay muchos ms tipos de malware producido con nimo de lucro, por ejemplo el
spyware,el madware preocupante de Android, el adware intrusivo y los hijacker tratan de
mostrar publicidad no deseada o redireccionar visitas hacia publicidad para beneficio del
creador. Estos tipos de malware no se propagan como los virus, generalmente son
instalados aprovechndose de vulnerabilidades o
junto con software legtimo como aplicaciones
P2P.
MALWARE INFECCIOSO:
VIRUS Y GUSANOS
Los tipos ms conocidos de malware, virus,
gusanos y troyanos, se distinguen por la manera
en que se propagan, ms que por otro
comportamiento particular.
El trmino virus informtico se usa para designar un programa que, al ejecutarse, se
propaga infectando otros softwares ejecutables dentro de la misma computadora. Los virus
tambin pueden tener un payload que realice otras acciones a menudo maliciosas, por
ejemplo, borrar archivos.
Por otra parte, un gusano es un programa que se transmite a s mismo, explotando
vulnerabilidades en una red de computadoras para infectar otros equipos. El principal
objetivo es infectar a la mayor cantidad posible de usuarios, y tambin puede contener
instrucciones dainas al igual que los virus.
Ntese que un virus necesita de la intervencin del usuario para propagarse mientras que
un gusano se propaga automticamente. Teniendo en cuenta esta distincin, las
infecciones transmitidas por e-mail o documentos de Microsoft Word, que dependen de su
apertura por parte del destinatario para infectar su sistema, deberan ser clasificadas ms
como virus que como gusanos.
(Ver documento ampliado sobre Malware, vulnerabilidades, gusanos, troyanos y otros)
Malware oculto: Backdoor O Puerta trasera,

Drive-BY Downloads, Rootkits y Troyanos
Para que un software malicioso pueda completar sus objetivos, es esencial que
permanezca oculto al usuario. Por ejemplo, si un usuario experimentado detecta un
programa malicioso, terminara el proceso y borrara el malware antes de que este pudiera
completar sus objetivos. El ocultamiento tambin puede ayudar a que el malware se instale
por primera vez en la computadora.
PUERTAS TRASERAS O BACKDOORS
Un backdoor o puerta trasera es un mtodo para eludir los procedimientos habituales de
autenticacin al conectarse a una computadora. Una vez que el sistema ha sido
comprometido (por uno de los anteriores mtodos o de alguna otra forma), puede
instalarse una puerta trasera para permitir un acceso remoto ms fcil en el futuro. Las
puertas traseras tambin pueden instalarse previamente al software malicioso para permitir
la entrada de los atacantes.
Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una
computadora, intentando permanecer ocultos ante una posible inspeccin. Para instalar
puertas traseras los crackers pueden usar troyanos, gusanos u otros mtodos.
Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de ordenadores
preinstalan puertas traseras en sus sistemas para facilitar soporte tcnico a los clientes,
pero no ha podido comprobarse con seguridad.
(Ver documento ampliado sobre Hacker y Backdoor)
DRIVE-BY DOWNLOADS
Google descubri hace aos que una de cada 10 pginas web analizadas en profundidad
pueden contener los llamados drive by downloads, que son sitios que instalan spyware o
cdigos que dan informacin de los equipos sin que el usuario se percate.
El trmino puede referirse a las descargas de algn tipo de malware que se efecta sin
consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de
correo electrnico o al entrar a una ventana pop-up, la cual puede mostrar un mensaje de
error.
Sin ser su verdadera intencin, el usuario consiente la descarga de software indeseable o
de malware, y estasvulnerabilidades se aprovechan.
El proceso de ataque Drive-by Downloads se realiza de manera automatica mediante
herramientas que buscan en el sitio web alguna vulnerabilidad. Una vez encontrada,
insertan un script malicioso dentro del cdigo HTML del sitio violado.
Cuando un usuario visita el sitio infectado, ste descargar dicho script en el sistema del
usuario, y a continuacin realizar una peticin a un servidor (Hop Point), donde se
solicitarn nuevos scripts con exploits encargados de comprobar si el equipo tiene alguna
vulnerabilidad que pueda ser explotada, intentando con ellas hasta que tienen xito, en
cuyo caso se descargar un script que descarga el archivo ejecutable (malware) desde el
servidor.
En la mayor parte de los navegadores se estn agregando bloqueadores antiphishing y
antimalware que contienen alertas que se muestran cuando se accede a una pgina web
daada, aunque no siempre dan una total proteccin.
ROOTKITS
(Ver documento ampliado sobre Rootkits)
Las tcnicas conocidas como rootkits

modifican el sistema operativo de una
computadora para permitir que el
malware permanezca oculto al usuario.
Por ejemplo, los rootkits evitan que un
proceso malicioso sea visible en la lista
de procesos del sistema o que sus
ficheros sean visibles en el explorador
de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el
ordenador esta infectado por un malware.
Originalmente, un rootkit era un conjunto de herramientas instaladas por un atacante en un
sistema Unix donde el atacante haba obtenido acceso de administrador (acceso root).
Actualmente, el trmino es usado mas generalmente para referirse a la ocultacin de
rutinas en un programa malicioso.
Algunos programas maliciosos tambin contienen rutinas para evitar ser borrados,
no slo para ocultarse. Un ejemplo de este comportamiento puede ser:
"Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada procesofantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva
instancia de este en cuestin de milisegundos. La nica manera de eliminar ambos
procesos-fantasma es eliminarlos simultneamente, cosa muy difcil de realizar, o
provocar un error el sistema deliberadamente."
Uno de los rootkits ms famosos fue el que la empresa Sony BMG Music
Entertainment, secretamente incluy, dentro de la proteccin anticopia de algunos
CD de msica, el software Extended Copy Protection (XCP) y MediaMax CD-3, los
cuales modificaban a Windows para que no lo pudiera detectar y tambin resultar
indetectable por los programas anti-virus y anti-spyware, actuaba enviando informacin
sobre el cliente, adems abri la puerta a otros tipos de malware que pudieron infiltrarse
en las computadoras, ademas de que s se detectaba no poda ser eliminado pues se
daaba el sistema operativo.
Mikko Hypponen, jefe de investigacin de la empresa de seguridad, F-Secure con sede en
Finlandia, considero a este rootkit como uno de los momentos fundamentales de la historia
de los malware.
TROYANOS
Usado para designar a un malware que permite la administracin remota de una

computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un
usuario no autorizado. Este tipo de malware es un hbrido entre un troyano y una puerta
trasera, no un troyano atendiendo a la definicin.
A grandes rasgos, los troyanos son programas maliciosos que estn disfrazados como
algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso.
Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias
indeseables, por ejemplo, borrar los archivos del usuario o instalar ms programas
indeseables o maliciosos.
Los troyanos conocidos como droppers son usados para empezar la propagacin de un
gusano inyectndolo dentro de la red local de un usuario.
Una de las formas ms comunes para distribuir spyware es mediante troyanos unidos a
software deseable descargado de Internet. Cuando el usuario instala el software esperado,
el spyware es puesto tambin. Los autores de spyware que intentan actuar de manera
legal pueden incluir unos trminos de uso, en los que se explica de manera imprecisa el
comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
MALWARE PARA OBTENER BENEFICIOS
Durante los aos 80 y 90, se sola dar por hecho que los programas maliciosos eran
creados como una forma de vandalismo o travesura. Sin embargo, en los ltimos aos la
mayor parte del malware ha sido creado con un fin econmico o para obtener beneficios
en algn sentido.
Esto es debido a la decisin de los autores de malware de sacar partido monetario a los
sistemas infectados, es decir, transformar el control sobre los sistemas en una fuente de
ingresos.
MOSTRAR PUBLICIDAD: SPYWARE, ADWARE Y HIJACKING
Los programas spyware son creados para recopilar informacin sobre las actividades
realizadas por un usuario y distribuirla a agencias de publicidad u otras organizaciones
interesadas. Algunos de los datos que recogen son las pginas web que visita el usuario y
direcciones de e mail, a las que despus se enva spam.
La mayora de los programas spyware son instalados como troyanos junto a software
deseable bajado de Internet.
Otros programas spyware recogen la informacin mediante cookies de terceros o barras
de herramientas instaladas en navegadores web. Los autores de spyware que intentan
actuar de manera legal se presentan abiertamente como empresas de publicidad e
incluyen unos trminos de uso, en los que se explica de manera imprecisa el
comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.
Por otra parte los programas adware (Madware) muestran publicidad al usuario de forma
intrusiva en forma de ventanas emergentes (pop-up) o de cualquier otra forma. Esta
publicidad aparece inesperadamente en el equipo y resulta muy molesta.
Algunos programas shareware permiten usar el programa de forma gratuita a cambio de
mostrar publicidad, en este caso el usuario consiente la publicidad al instalar el programa.
Este tipo de adware no debera ser considerado malware, pero muchas veces los trminos
de uso no son completamente transparentes y ocultan lo que el programa realmente hace.

Los hijackers son programas que realizan cambios en la configuracin del navegador web.
Por ejemplo, algunos cambian la pgina de inicio del navegador por pginas web de
publicidad o pornogrficas, otros redireccionan los resultados de los buscadores hacia
anuncios de pago o pginas de phishing bancario.
Especial atencin al typosquatting, tcnica que los cibercriminales utilizan para infectar
ordenadores de usuarios mediante pginas web falsas y luego utilizarlas para difundir su
malware.
El pharming es una tcnica que suplanta al DNS, modificando el archivo hosts, para
redirigir el dominio de una o varias pginas web a otra pgina web, muchas veces una web
falsa que imita a la verdadera. Esta es una de las tcnicas usadas por los hijackers o
secuestradores del navegador de Internet. Esta tcnica tambin puede ser usada con el
objetivo de obtener credenciales y datos personales
mediante el secuestro de una sesin (Sidejacking).
(Ver tambin Sidejacking, Bloatware y otros tipos de Ciberataques)
ROBO DE INFORMACIN PERSONAL:

KEYLOGGERS Y STEALERS
(Ver tambin el documento ampliado sobre Keyloggers)
Cuando un software produce prdidas econmicas para

el usuario de un equipo, tambin se clasifica
como crimeware o software criminal, trmino dado por
Peter Cassidy para diferenciarlo de los otros tipos de
software malicioso. Estos programas estn
encaminados al aspecto financiero, la suplantacin de personalidad y el espionaje.
Los keyloggers y los stealers son programas maliciosos creados para robar informacin
sensible. El creador puede obtener beneficios econmicos o de otro tipo a travs de su uso
o distribucin en comunidades underground. La principal diferencia entre ellos es la forma
en la que recogen la informacin.
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un
posterior envo al creador. Por ejemplo al introducir un nmero de tarjeta de crdito el
keylogger guarda el nmero, posteriormente lo enva al autor del programa y este puede
hacer pagos fraudulentos con esa tarjeta.
Si las contraseas se encuentran recordadas en el equipo, de forma que el usuario no
tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayora los
keyloggers son usados para recopilar contraseas de acceso pero tambin pueden ser
usados para espiar conversaciones de chat u otros fines.
Los stealers tambin roban informacin privada pero solo la que se encuentra guardada en
el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen
contraseas recordadas, por ejemplo en los navegadores web o en clientes de mensajera
instantnea, descifran esa informacin y la envan al creador.
REALIZAR LLAMADAS TELEFNICAS: DIALERS

Los dialers son programas maliciosos que toman el control
del mdem dial-up, realizan una llamada a un nmero de
telfono de tarificacin especial, muchas veces internacional,
y dejan la lnea abierta cargando el coste de dicha llamada al
usuario infectado.
La forma ms habitual de infeccin suele ser en pginas web
que ofrecen contenidos gratuitos pero que solo permiten el
acceso mediante conexin telefnica. Suelen utilizar como
seuelos videojuegos, salva pantallas, pornografa u otro tipo de material.
Actualmente la mayora de las conexiones a Internet son mediante ADSL y no mediante
mdem, lo cual hace que los dialers ya no sean tan populares como en el pasado, aunque
an hay pases en vas de desarrollo que los utilizan.
ATAQUES DISTRIBUIDOS: BOTNETS

(Ver tambin documento ampliado sobre Botnets)
Las botnets son redes de computadoras infectadas, tambin llamadas "zombies", que
pueden ser controladas a la vez por un individuo y realizan distintas tareas.
Este tipo de redes son usadas para el envo masivo de spam o para lanzar ataques DDoS
contra organizaciones como forma de extorsin o para impedir su correcto funcionamiento.
La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato,
que les protege de la persecucin policial.
En una botnet cada computadora infectada por el malware se loguea en un canal de IRC u
otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas
infectados simultneamente.
Las botnets tambin pueden ser usadas para actualizar el malware en los sistemas
infectados mantenindolos as resistentes ante antivirus u otras medidas de seguridad.
OTROS TIPOS: ROGUE SOFTWARE Y RANSOMWARE
(Ver tambin documento sobre Rogue y Ransomware)
Los rogue software hacen creer al usuario que la computadora est infectada por algn
tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un
software intil o a instalar un software malicioso que
supuestamente elimina las infecciones, pero el usuario no
necesita ese software puesto que no est infectado.
LOS RANSOMWARE
Tambin llamados criptovirus o secuestradores, son
programas que cifran los archivos importantes para el
usuario, hacindolos inaccesibles, y piden que se pague un
"rescate" para poder recibir la contrasea que permite
recuperar los archivos.
InfoSpyware reporta en su blog que a partir de mayo del 2012, han existido 2 nuevas
variantes del llamado "virus de la polica" "Virus Ukash", que es producido por el troyano
Ransom.ab, que con el pretexto de que se entr a pginas de pornografa infantil, se les
hace pagar una supuesta multa para poder desbloquear sus equipos , actualmente
tambin utilizando la propia cmara Web del equipo hacen unas supuestas tomas de vdeo
que anexan en su banner de advertencia, para asustarlos ms al hacerlos pensar que
estn siendo observado y filmado por la polica, siendo Rusia, Alemania, Espaa y Brasil
los pases ms afectados la versin falsa del antivirus gratuito "Microsoft Security
Essentials" que dice bloquear el equipo por seguridad y que para poder funcionar
adecuadamente se ofrece un mdulo especial que se tiene que pagar.
La Brigada de Investigacin Tecnolgica de la Polica Nacional de Espaa, junto con
Europol e Interpol, desmantelaron en febrero del 2013, a la banda de piratas informticos
creadores del "Virus de la Polica", responsables de estafar alrededor de 1 milln de euros
al ao.
GRAYWARE O GREYNET
Los trminos grayware (o greyware) y graynet (o greynet) (del ingls gray o grey, "gris")
suelen usarse para clasificar aplicaciones o programas de cmputo que se instalan sin la
autorizacin del departamento de sistemas de una compaa; se comportan de modo tal
que resultan molestos o indeseables para el usuario, pero son menos peligrosos que
los malware.
Se incluyen: adware, dialers, herramientas de acceso remoto, programas de bromas (joke
programs), programas para conferencias, programa de mensajera instantnea, spyware y
cualesquiera otros archivos y programas no bienvenidos que no sean virus y que puedan
llegar a daar el funcionamiento de una computadora o de una red.
El trmino grayware comenz a utilizarse en septiembre del 2004.
VULNERABILIDADES USADAS POR EL MALWARE

Existen varios factores que hacen a un sistema ms vulnerable al malware:
- homogeneidad errores de software
- cdigo sin confirmar
- sobre-privilegios de usuario
- sobre-privilegios de cdigo
Una causa de la vulnerabilidad de redes, es la homogeneidad del software

multiusuario. Por ejemplo, cuando todos los ordenadores de una red funcionan con el
mismo sistema operativo, si se puede comprometer ese sistema, se podra afectar a
cualquier ordenador que lo use. En particular, Microsoft Windows tiene la mayora del
mercado de los sistemas operativos, esto permite a los creadores de malware infectar una
gran cantidad de computadoras sin tener que adaptar el software malicioso a diferentes
sistemas operativos.
La mayora del software y de los sistemas operativos contienen bugs que pueden ser
aprovechados por el malware. Los ejemplos tpicos son los desbordamiento de bfer
(buffer overflow), en los cuales la estructura diseada para almacenar datos en un rea
determinada de la memoria permite que sea ocupada por ms datos de los que le caben,
sobre escribiendo otras partes de la memoria.
Esto puede ser utilizado por el malware para forzar al sistema a ejecutar su cdigo
malicioso.
Las memorias USB infectadas pueden daar la computadora durante el arranque.

Originalmente las computadoras tenan que ser booteadas con un diskette, y hasta hace
poco tiempo era comn que fuera el dispositivo de arranque por defecto. Esto significaba
que un diskette contaminado poda daar la computadora durante el arranque, e igual se
aplica a CD y memorias USB.
Aunque eso es menos comn ahora, sigue siendo posible olvidarse de que el equipo se
inicia por defecto en un medio removible, y por seguridad normalmente no debera haber
ningn diskette, CD, etc, al encender la computadora. Para solucionar este problema de
seguridad basta con entrar en la BIOS del ordenador y cambiar el modo de arranque del
ordenador.
En algunos sistemas, los usuarios no administradores tienen sobre-privilegios por

diseo, en el sentido que se les permite modificar las estructuras internas del sistema,
porque se les han concedido privilegios inadecuados de administrador o equivalente.
Esta es una decisin de la configuracin por defecto, en los sistemas de Microsoft
Windows la configuracin por defecto es sobre-privilegiar al usuario. Esta situacin es
debida a decisiones tomadas por Microsoft para priorizar la compatibilidad con viejos
sistemas sobre la seguridad y porque las aplicaciones tpicas fueron desarrollados sin
tener en cuenta a los usuarios no privilegiados.
Como los exploits para escalar privilegios han aumentado, esta prioridad cambi con
Windows Vista. Como resultado, muchas aplicaciones existentes que requieren excesos
de privilegios pueden tener problemas de compatibilidad con esta versin. Sin embargo, el
propio Control de cuentas de usuario (UAC en ingls) intenta solucionar los problemas que
tienen las aplicaciones no diseadas para usuarios no privilegiados a travs de la
virtualizacin, actuando como apoyo para resolver el problema del acceso privilegiado
inherente en las aplicaciones heredadas.
El malware, funcionando como cdigo sobre-privilegiado, puede utilizar estos privilegios
para modificar el funcionamiento del sistema. Casi todos los sistemas operativos
populares, y tambin muchas aplicaciones scripting permiten cdigos con muchos
privilegios, generalmente en el sentido que cuando un usuario ejecuta el cdigo, el sistema
no limita ese cdigo a los derechos del usuario.
Esto hace a los usuarios vulnerables al malware contenido en archivos adjuntos de emails, que pueden o no estar disfrazados. Dada esta situacin, se advierte a los usuarios
de que abran solamente archivos solicitados, y ser cuidadosos con archivos recibidos de
fuentes desconocidas. Es tambin comn que los sistemas operativos sean diseados de
modo que reconozcan dispositivos de diversos fabricantes y cuenten con drivers para
estos hardwares, algunos de estos drivers pueden no ser muy confiables.
ELIMINANDO CDIGO SOBRE-PRIVILEGIADO
El cdigo sobre-privilegiado se remonta a la poca en la que la mayora de programas
eran entregados con la computadora. El sistema debera mantener perfiles de privilegios y
saber cul aplicar segn el usuario o programa. Al instalar un nuevo software el
administrador necesitara establecer el perfil predeterminado para el nuevo cdigo.
Eliminar las vulnerabilidades en los drivers de dispositivos es probablemente ms difcil
que en los software ejecutables. Una tcnica, usada en VMS, que puede ayudar es solo
mapear en la memoria los registros de ese dispositivo.
Otras propuestas son:
Varias formas de virtualizacin, permitiendo al cdigo
acceso ilimitado pero solo a recursos virtuales.
Varias formas de Aislamiento de procesos tambin
conocido como sandbox.
La virtualizacion a nivel de sistema operativo que es un
mtodo de abstraccin del servidor en donde el kernel del
sistema operativo permite mltiples instancias de espacio de
usuario llamadas contenedores, VEs, SPV o jails, que
pueden ser parecidas a un servidor real.
Las funciones de seguridad de Java.
Tales propuestas, sin embargo, si no son completamente integradas con el sistema
operativo, duplicaran el esfuerzo y no seran universalmente aplicadas, esto sera
perjudicial para la seguridad.
PROGRAMAS ANTI-MALWARE
Como los ataques con malware son cada vez mas frecuentes, el inters ha empezado a
cambiar de proteccin frente a virus y spyware, a proteccin frente al malware, y los
programas han sido especficamente desarrollados para combatirlos.
Los programas anti-malware pueden combatir el malware de dos formas:
1. Proporcionando proteccin en tiempo real (real-time protection) contra la
instalacin de malware en una computadora. El software anti-malware escanea todos los
datos procedentes de la red en busca de malware y bloquea todo lo que suponga una
amenaza.
2. Detectando y eliminando malware que ya ha sido instalado en una
computadora. Este tipo de proteccin frente al malware es normalmente mucho ms fcil
de usar y ms popular. Este tipo de programas anti-malware escanean el contenido del
registro de Windows, los archivos del sistema operativo, la memoria y los programas
instalados en la computadora. Al terminar el escaneo muestran al usuario una lista con
todas las amenazas encontradas y permiten escoger cuales eliminar.
La proteccin en tiempo real funciona idnticamente a la proteccin de los antivirus: el
software escanea los archivos al ser descargados de Internet y bloquea la actividad de los
componentes identificados como malware. En algunos casos, tambin pueden interceptar

intentos de ejecutarse automticamente al arrancar el sistema o modificaciones en el
navegador web.
Debido a que muchas veces el malware es instalado como resultado de exploits para un
navegador web o errores del usuario, usar un software de seguridad para proteger el
navegador web puede ser una ayuda efectiva para restringir los daos que el malware
puede causar.
MTODOS DE PROTECCIN
Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad
de una computadora, algunos son:
Proteccin a travs del nmero de cliente y la del generador de claves dinmicas
Tener el sistema operativo y el navegador web actualizados.
Tener instalado un antivirus y un firewall y configurarlos para que se actualicen
automticamente de forma regular ya que cada da aparecen nuevas amenazas.
Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo
debe utilizarse cundo sea necesario cambiar la configuracin o instalar un nuevo
software.
Tener precaucin al ejecutar software procedente de Internet o de medios extrables
como CD o memorias USB. Es importante asegurarse de que proceden de algn sitio de
confianza.
Una recomendacin en tablet, celulares y otros dispositivos mviles es instalar
aplicaciones de tiendas reconocidas como App Store, Google Play o Nokia Store, pues
esto garantiza que no tendrn malware.
Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su
procedencia.
Desactivar la interpretacin de Visual Basic Script y permitir JavaScript, ActiveX
y cookies slo en pginas web de confianza.
Utilizar contraseas de alta seguridad para evitar ataques de diccionario.
Es muy recomendable hacer copias de respaldo regularmente de los documentos
importantes a medios extrables como CD o DVD para poderlos recuperar en caso de
infeccin por parte de algn malware.
(Ver tambin documento ampliado sobre Metadatos y Anlisis Forense)
Relacionadas:
http://blog-es.seh-technology.com/es-archive/2012.html
http://www.elladodelmal.com/2012/04/analisis-forense-de-metadatos-15.html
Ms del 60% de casos de peritaje informtico se deben a sabotaje en las empresas, segn Recovery Labs
Un forense llevado a juicio (I de X)
Cultura Informtica: Anlisis Forense
Informtica Forense en Madrid - Espaa
Informtica Forense en Venezuela
Biblioteca Anlisis Forense
Documentos Relacionados:
Analisis forense de sistemas informaticos - Helena Rif Pous (UPC), Jordi Serra Ruiz (UAB) y Jos Luis Rivas
Lpez (UOC)
Informatica Forense - Conferencia Javier Pages TASSI2013 - (EUITT - UPM)
(Via: www.formaciononlinegratis.net)
El perito informtico en el
proceso penal
25 junio, 2015blog
Existen numerosas ocasiones en las que un peritaje informtico es determinante en un

proceso penal. Por ejemplo, en el sabotaje de un sistema informtico, en la distribucin
ilegal de ficheros protegidos por las leyes de propiedad intelectual, en la tenencia o
distribucin de ficheros ilegales (por ejemplo, de pornografa infantil), e inclusive, en el
mbito laboral, en delitos contra la propiedad industrial (como el espionaje industrial),
de revelacin de secretos (como la inspeccin no autorizada de buzones de correo
electrnico), etc. En todos estos casos, la intervencin de un perito informtico, bien de
parte, bien de alguna de las Fuerzas y Cuerpos de Seguridad del Estado, es esencial para
establecer y formalizar la acusacin. Es, adems, absolutamente imprescindible que, en
un proceso judicial de estas caractersticas, el perito informtico tome todas las
precauciones que estn a su alcance para garantizar la preservacin de la cadena de
custodia de las pruebas, al objeto de que la acusacin se pueda formalizar con todas las
garantas procesales para el acusado.
Es paradigmtico que en varios de los procesos penales a los que normalmente se

enfrenta un perito informtico y en los que ya ha intervenido otro perito informtico,
generalmente no titular (artculo 457 de la Ley de Enjuiciamiento Criminal), la
acusacin haya sido establecida en base a inferencias o suposiciones que normalmente
descansan en investigaciones forenses realizadas sobre pruebas en las que la cadena de
custodia no han sido preservada, de tal forma que dichas pruebas han sido analizadas
directamente, sin clonados forenses ni precauciones de ningn tipo. Cuando una prueba
es analizada directamente por un perito informtico, sin haber realizado un clonado
forense ni tomando precauciones relativas al bloqueo de escritura de la misma, sta
queda automticamente alterada y, por tanto, invalidada de cara a un posible anlisis
posterior por parte de otro perito informtico, que no podra establecer de forma
fehaciente un instante temporal en el cual fue analizada la prueba (es decir,
una instantnea de la misma) ni, por tanto, si la alteracin se produjo antes o despus
del anlisis por parte del primer perito informtico. As pues, la mera conexin de una
evidencia a un ordenador sin la pertinente toma de precauciones, implica su
irremediable alteracin e invalidacin a nivel informtico forense.
Cuando un perito informtico detecta, en un anlisis forense relativo a un proceso penal

o, en el anlisis de un informe pericial informtico adjunto a dicho proceso, que una
prueba de cargo ha sido directamente analizada y, por tanto, alterada, debido a lo cual la
cadena de custodia no ha sido preservada, es necesario elaborar un contra-informe
pericial informtico argumentando esta eventualidad. La no preservacin de la cadena
de custodia de una prueba debido a su manipulacin directa, sin que se hayan realizado
clonados forenses ante un fedatario pblico que haya certificado el estado de la misma
en el momento de su intervencin, puede invalidar totalmente la acusacin penal basada
en el primer anlisis realizado sobre dicha prueba, siempre y cuando sta sea de cargo y
toda la acusacin descanse sobre el mencionado anlisis, es decir, que no haya ms
pruebas contra el acusado que la pericial informtica.
As pues, en estas situaciones, es vital contar con los servicios de un perito informtico
colegiado (es decir, un perito titular segn el artculo 457 de la Ley de Enjuiciamiento
Criminal, que atribuye nicamente la titularidad a los peritos que han cursado estudios
universitarios en su materia y la no titularidad a los que no), al objeto de poder
argumentar con la mayor firmeza y, siempre desde el mejor punto de vista tcnico (que
slo puede proporcionar un profesional colegiado), que el primer anlisis no fue llevado
a cabo siguiendo los protocolos de la informtica forense y, por tanto, que la prueba est
alterada y la cadena de custodia rota. Si la nica prueba contra el acusado, por tanto, es
una pericial informtica no ortodoxa, al tratarse de un proceso penal, el juez
probablemente aplicar el principio jurdico conocido como in dubio pro reo y declarar
absuelto al acusado.
El Tribunal Supremo
dictamina que un perito
informtico debe
autentificar las
conversaciones
mantenidas a travs de
una red social
29 mayo, 2015blog
El 19 mayo de 2015, tal y como se recoge en numerosos medios de comunicacin, el

Tribunal Supremo de Espaa dictamin en la Sentencia 2047/2015 que, para que una
conversacin entre dos personas mantenida a travs de una red social, sea considerada
como autntica y pueda ser aceptada como prueba vlida en un procedimiento judicial,
debe ser autentificada por un perito informtico en un dictamen pericial informtico.
Segn la sentencia, no es suficiente con presentar como prueba los pantallazos de la
conversacin, que son susceptibles de estar manipulados, inclusive hasta el punto de que
un nico usuario puede simular mantener una conversacin en la que realmente se
relaciona consigo mismo a travs de identidades fingidas, por lo que dichas
conversaciones deben ser analizadas por un perito informtico y autentificadas en un
informe pericial informtico al objeto de demostrar su autenticidad.
La Sentencia del Tribunal Supremo viene a confirmar la necesidad, ya puesta de

manifiesto por este perito informtico con anterioridad, de contar con la certificacin de
un dictamen pericial firmado por un perito informtico a la hora de autentificar
contenidos en redes sociales como Facebook, Twitter, Tuenti o, incluso, cuando se trata
de mensajes intercambiados a travs de WhatsApp, la aplicacin de mensajera
instantnea ms utilizada en dispositivos mviles como Android y Apple. Las
conversaciones o chats entre usuarios son una tipologa de contenido al igual que lo son
las fotografas, los vdeos, los comentarios en el panel de usuario (en la jerga, muro),
etc. Un pantallazo de una conversacin, una fotografa o un comentario son elementos
absolutamente susceptibles de ser manipulados, fundamentalmente por programas de
edicin de imagen, por lo que es necesario analizar directamente el contenido original y
realizar un peritaje informtico sobre el mismo.
En la autentificacin de conversaciones u otro tipo de contenido en redes sociales, es

necesario tener en cuenta que puede existir contenido voltil, es decir, que puede
desaparecer al ser borrado por su autor original, siendo extremadamente difcil volver a
recuperarlo, ya que sera necesaria una orden judicial, la colaboracin de la red social en
cuestin con las autoridades espaolas (estn radicadas en pases extranjeros en su
mayora), y que la red social no haya eliminado definitivamente la informacin. As
pues, se debe dejar constancia del contenido de la red social antes de que se produzca un
posible borrado del mismo, para lo cual slo existen dos opciones que deben ser
ejecutadas con la mxima celeridad, bien acudir al notario con un perito
informtico para que d fe del contenido a autentificar de la red social, bien certificar el
contenido mediante alguna herramienta de tercero de confianza, como eGarante. En
ambos casos, un peritaje informtico acompaar al acta notarial (el notario slo puede
dar fe de lo que ve, no pudiendo asegurar la autenticidad de nada en lo que deban
intervenir conocimientos periciales), o a los ficheros certificados por la herramienta de
tercero de confianza. Por tanto, es conveniente contactar de forma inmediata con un
perito informtico si se sospecha que el contenido que se desea autentificar puede ser
eliminado, a fin de que el profesional pueda asesorar correctamente al cliente en la
mejor forma de proceder.
Asimismo, debe quedar claro que, en ningn caso y cuando se trata de la certificacin
de contenidos en redes sociales, el usuario debe proporcionar la contrasea de su cuenta
al perito informtico ni tampoco al notario en caso de que sea necesario acudir al
mismo. La contrasea debe ser introducida por el usuario, bajo supervisin del perito
informtico, sin que ste ni el notario puedan verla y, posteriormente, permitir a los
profesionales, tanto perito informtico como notario, realizar su trabajo, para finalmente
salir de la cuenta del usuario en la red social sin que se pueda volver a acceder a la
misma (para lo cual la casilla de Recordar la contrasea debe aparecer desmarcada al
acceder a la cuenta del usuario en la red social). nicamente y bajo circunstancias
excepcionales, el usuario debera comunicar al perito informtico la contrasea de su
cuenta en la red social, para lo cual es necesario que ambos firmen un documento de
confidencialidad que debe proporcionarle el perito informtico al cliente, en el que se
explique que nicamente se acceder a su cuenta en la red social con motivos
estrictamente profesionales mientras duren los trabajos, manteniendo secreto

profesional por parte del perito informtico de todo lo que ste pudiera ver en la cuenta
de la red social del usuario y que, una vez finalizados los trabajos, el usuario se
compromete a modificar inmediatamente la contrasea.
Debido a la extrema delicadeza de la informacin personal que puede contener una

cuenta de usuario de una red social, se recomienda nicamente confiar en un perito
informtico colegiado, siempre sujeto a tica profesional, para la realizacin de
un informe pericial informtico sobre contenido en redes sociales. Adems de un
correcto asesoramiento y proceder en la ejecucin del trabajo, el peritaje informtico no
podr ser recusado ni tachado por no disponer el perito informtico de las titulaciones
universitarias requeridas, ya que la colegiacin es garanta de haber obtenido dichas
titulaciones y de estar plenamente capacitado y no inhabilitado para el ejercicio
profesional. La contratacin de un perito informtico no colegiado es un riesgo que no
debe asumirse, puesto que ste puede no estar en posesin de las titulaciones
universitarias requeridas por la Ley de Enjuiciamiento Civil o estar inhabilitado
profesionalmente.
Peritaje informtico de
incumplimiento de
contratos en proyectos
software
24 mayo, 2015blog
Cuando un perito informtico afronta un peritaje informtico relativo al incumplimiento

de un contrato en el desarrollo de un proyecto software, es vital el enfoque en dos
aspectos: el propio contrato de prestacin de servicios (o de obra, segn se explicar
posteriormente) y el documento o documentos de la Especificacin de Requisitos del
Software (que no siempre existe, aunque es un anexo fundamental para la comprensin
del proyecto, ya que en l se especifican todas las caractersticas que debe tener el
software, dejando en el cuerpo del contrato los aspectos legales). La realizacin de un
peritaje informtico sobre el incumplimiento de un contrato en un proyecto software, es
una tarea muy compleja para la que se debe contar con toda la documentacin posible
relativa al proyecto, siendo estos dos documentos la base fundamental del desarrollo de
cualquier proyecto software.
En el contrato de desarrollo de un proyecto software deben especificarse aspectos

relevantes como el periodo para la toma de requisitos, el plazo para la construccin e
implantacin del proyecto, los hitos del desarrollo del mismo, las entregas (conocidas en
la jerga como artefactos) que la empresa desarrolladora del proyecto debe realizar al
cliente as como el alcance de stas (es decir, el conjunto de funcionalidades que
contendrn), los pagos que el cliente debe realizar a la empresa de desarrollo, el plazo
para la implantacin del proyecto, el periodo de garanta del mismo en el que la empresa
de desarrollo se compromete a resolver las incidencias del sistema como parte del
contrato, el periodo de formacin a los usuarios, el sometimiento del contrato a la
legislacin vigente, etc. Es importante tambin dejar claro en el contrato si, en caso de
discrepancias en el cumplimiento del mismo por alguna de las partes, el litigio quedar
sometido a arbitraje con o sin perjuicio de acudir a la va judicial ordinaria y, en tal
caso, qu Corte Arbitral se encargar de resolver el conflicto, recomendando siempre
que, para proyectos informticos, sea la Corte Arbitral del Colegio de Ingenieros o
Ingenieros Tcnicos en Informtica de la Comunidad Autnoma donde se firme el
contrato, la encargada de asignar a un perito informtico colegiado el litigio. El perito
informtico, actuando como rbitro, emitir en ese caso, una vez odas las partes y
estudiado el caso en su conjunto, lo que se conoce como laudo arbitral.
Un aspecto fundamental de cualquier proyecto software y absolutamente clave para el
xito del mismo es la toma de requisitos. La toma de requisitos del software debe ser un
proceso continuado en el tiempo, es decir, debe comenzar antes que el resto de las fases
del desarrollo del proyecto, pero debe continuarse en paralelo una vez han comenzado
las mismas. Cuando se afronta un proyecto software complejo es necesario saber qu
necesitan los usuarios, lo que nicamente se consigue con el equipo de ingenieros que
van a desarrollar el proyecto estableciendo contacto directo con los propios usuarios,
desarrollando prototipos con funcionalidades limitadas que los usuarios puedan utilizar
y con los que puedan interactuar, etc. Una ausencia o mala planificacin de la fase de
toma de requisitos en un proyecto software, es garanta casi segura de un fracaso en el
mismo, puesto que los usuarios estarn descontentos con el sistema y sus
funcionalidades, ya que es extremadamente difcil que los ingenieros puedan
comprender las necesidades de los usuarios para poder trasladar posteriormente las
mismas a lenguaje informtico, por lo que se requiere de un trabajo muy exhaustivo en
esta fase. La fase de toma de requisitos, por tanto, debe quedar totalmente especificada
y desglosada en el contrato de desarrollo del proyecto software.
Es necesario diferenciar entre el contrato de realizacin de un proyecto software

propiamente dicho y los anexos al mismo. Un anexo a un contrato es un documento que
desglosa ciertos aspectos del contrato y que es demasiado extenso y especfico para
incluirse en el cuerpo del contrato. ste es el caso del documento de Especificacin de
Requisitos del Software, que tambin es conocida como pliego. La Especificacin de
Requisitos del Software o pliego es un documento en el que deben especificarse, de
forma absolutamente desglosada, los requisitos funcionales y no funcionales del
software, anexndose al contrato.
Un requisito funcional es conocido tambin en la literatura informtica como un caso de
uso, es decir, una accin o funcionalidad concreta que pueden ejecutar uno o varios
usuarios y que consiste en una consulta sobre el estado del sistema o produce un cambio
en el estado del sistema. Los requisitos funcionales se componen de varias acciones
secuenciales, es decir, de una sucesin de pasos que el usuario debe ejecutar para
conseguir llevar a cabo la accin del caso de uso. Los requisitos funcionales deben tener
un cdigo alfanumrico que los identifique de forma unvoca en el documento de
Especificacin de Requisitos del Software.
Un requisito no funcional es todo aqul que no describe informacin a almacenar ni
acciones a ejecutar, es decir, que no consulta estados del sistema ni produce cambios en
el mismo. Por tanto, un requisito no funcional describe una caracterstica o atributo del
sistema, como por ejemplo directrices sobre el rendimiento, la seguridad, la
disponibilidad, la escalabilidad, la concurrencia, la portabilidad, el sistema gestor de
base de datos que va a ser utilizado, el entorno tecnolgico del proyecto, la metodologa
de desarrollo del mismo, etc. Los requisitos no funcionales deben quedar tambin
totalmente identificados en el anexo de Especificacin de Requisitos del Software.
Respecto a la forma del contrato y sus implicaciones jurdicas, existe una disyuntiva
legal entre si el contrato de realizacin de un proyecto software debe ser considerado un
contrato de prestacin de servicios o un contrato de obra. Tradicionalmente, el contrato
de realizacin de un proyecto software ha sido considerado un contrato de prestacin de
servicios, aunque recientemente y, debido a la Sentencia de 20 de enero de 2009 del
Juzgado de Primera Instancia Nmero 5 de Vitoria, puede llegar a ser considerado como
un contrato de obra. En este caso, se trataba de la implantacin de un software ERP SAP
de acuerdo a los procesos de negocio de la empresa cliente y conforme al resultado de la
fase de anlisis, por lo que se conden a la empresa adjudicataria por considerarse que,
en un contrato de obra, la ejecucin de la misma debe estar orientada al resultado, por lo
cual no se puede abandonar la obra hasta que sta no haya concluido exitosamente,
mientras que en un contrato de prestacin de servicios, lo importante es el trabajo en s,
sin tener en cuenta el resultado que ste produce. Recientes sentencias del Tribunal
Supremo consideran el contrato de realizacin de un proyecto software como un
contrato mixto entre prestacin de servicios y arrendamiento de obra, por lo que
conviene a cada una de las partes (cliente y prestador de servicios) conocer con
anterioridad y con el correcto asesoramiento tcnico y legal, qu tipologa de contrato es
aplicable en cada parte del mismo.
Debido a la consideracin, al menos en parte, del contrato de realizacin de un proyecto
software como contrato de obra, la fase de implantacin del proyecto es fundamental
para la conclusin del mismo de forma exitosa. En la fase de implantacin, se pone en
servicio el software y se deja listo para que los usuarios puedan utilizarlo, por lo que es
necesario que el equipo de despliegue lo instale y configure correctamente y, una vez
concluida la instalacin y la configuracin del sistema y, comprobado que ste funciona
correctamente despus de la realizacin de las pruebas SAT, el responsable del proyecto
en el cliente firme el documento de aceptacin de la entrega del software. La firma de
este documento no implica perjuicio alguno sobre las incidencias que pudiesen surgir en
los primeros estadios de la utilizacin del sistema y que deben ser corregidas siempre de
acuerdo al contrato de realizacin del proyecto software.
Es necesario dejar claro tambin, sobre todo de cara a un posible litigio en el que un
perito informtico deba verificar el incumplimiento del contrato por alguna de las
partes, que un contrato de desarrollo de un proyecto software no es un contrato de

mantenimiento. Es decir, en el contrato de desarrollo del proyecto software deber
especificarse un periodo de garanta en el cual se corregirn las incidencias detectadas,
pero en ningn caso dicho mantenimiento deber extenderse ms all del periodo de
garanta, al igual que tampoco debern realizarse en este periodo, bajo ningn concepto,
modificaciones funcionales en el software que no hayan sido especificadas en el
contrato. Por tanto, el mantenimiento de un proyecto software deber realizarse siempre
bajo el paraguas de otro contrato distinto al contrato de desarrollo.
S, an tomadas todas las precauciones contractuales, se produce un litigio y una de las

partes demanda a la otra por incumplimiento de contrato, el perito informtico deber
estudiar en profundidad el contrato y sus anexos y, entre ellos, principalmente, el de
Especificacin de Requisitos del Software. Asimismo, el perito informtico tambin
deber comprobar, siempre que sea posible, el funcionamiento del software implantado
en el cliente, o en alguna mquina de pruebas del proveedor, en caso de que ste sea el
demandante y el cliente demandado no permita al perito informtico la realizacin de
las pruebas al objeto de redactar el informe pericial informtico. Es necesario tener en
cuenta que, en caso de que el contrato y/o el anexo de Especificacin de Requisitos del
Software sean poco prolijos o este anexo ni siquiera exista, ser muy probable que el
perito informtico deba realizar, en su informe pericial, una autentificacin de los
correos electrnicos mantenidos entre el cliente y el proveedor, para lo cual ser, a su
vez, muy probablemente necesaria, la clonacin de los discos duros en los que se
encuentren almacenados dichos correos electrnicos, encareciendo por tanto el coste
final del peritaje informtico.
El perito informtico en el
arbitraje informtico y la
tasacin informtica
25 abril, 2015blog
El perito informtico, habitualmente, debe actuar como rbitro informtico debido al

auge del sometimiento de determinado tipo de contrato de prestacin de servicios
informticos a un arbitraje en caso de litigio, o como tasador informtico, en el caso de
que sea necesaria la valoracin econmica de un proyecto informtico, la cuantificacin
econmica de los activos informticos de una empresa, etc. El arbitraje informtico y la
tasacin informtica son, en realidad, especialidades concretas del peritaje informtico
en las que el perito informtico, como profesional Ingeniero o Ingeniero Tcnico en
Informtica, debe estar correctamente formado y especializado.
La realizacin de un arbitraje informtico implica el intento de conciliacin entre las

partes, por lo que el perito informtico, como profesional imparcial y objetivo en el
proceso, debe escuchar a las mismas, estudiar el caso y, finalmente, emitir un dictamen,
conocido como laudo arbitral, que puede ser vinculante o no en funcin del tipo de
procedimiento en el que se est inmerso. Existen numerosos organismos pblicos,
pblico-privados y privados que disponen de Corte Arbitral, como las Cmaras de
Comercio, los Colegios Profesionales, algunos despachos de abogados, etc. Las ventajas
de acudir al arbitraje informtico en lugar de a la va civil son evidentes, ya que la va
arbitral es mucho ms rpida y econmica que la civil y el laudo arbitral siempre va a
estar refrendado por un perito informtico experto en la materia, evitando posibles
sentencias judiciales errneas motivadas por un desconocimiento de la materia objeto de
la controversia.
En la tasacin informtica, el perito informtico deber valorar econmicamente

determinados activos informticos, mediante distintas tcnicas que incluyen el clculo
del retorno de la inversin para un proyecto informtico, del esfuerzo en personasmeses invertido en la construccin de un proyecto software, del costo de determinadas
licencias de software ilegalmente utilizadas, del valor econmico de equipos
informticos teniendo en cuenta la antigedad de los mismos y la inflacin, etc. Una
tasacin informtica siempre ser aproximada, nunca exacta, debido a la imposibilidad
de que el perito informtico tome en cuenta todas las variables implicadas en la misma,
que son incontables.
Por tanto, se puede decir que, en el momento actual, el perito informtico es un

profesional totalmente capacitado para su actuacin en cualquier tipo de proceso como
un arbitraje informtico o una tasacin informtica. Es absolutamente recomendable que
el perito informtico seleccionado est colegiado, puesto que as el cliente se asegura la
titulacin de Ingeniera o Ingeniera Tcnica en Informtica del perito y evita posibles
casos de fraude o estafa.
La direccin IP en el
peritaje informtico
9 abril, 2015blog
En muchos de los anlisis forenses realizados por un perito informtico y, sobre todo, en
muchos de los informes periciales que un perito informtico debe rebatir con un contrainforme pericial informtico, la direccin IP juga un papel fundamental. Una direccin
IP es una etiqueta numrica que identifica a una interfaz o elemento de conexin,
conocido como tarjeta de red (normalmente, perteneciente a un ordenador, aunque
tambin podra pertenecer a una televisin, a una videoconsola o a cualquier otro
electrodomstico), dentro de una red que utilice el protocolo IP, correspondiente al nivel
de red del modelo OSI (Internet es una red en la que se usa el protocolo IP).
La direccin IP se forma con cuatro conjuntos de nmeros que pueden ir desde el 0

hasta el 255. 255 es el resultado de multiplicar dos por s mismo un total de ocho veces
(28), lo que significa que para representar cada uno de estos conjuntos son necesarios un
total de ocho elementos binarios o bits (que pueden ser ceros o unos), por lo que para
representar una direccin IP, son necesarios treinta y dos bits. Si se realiza un clculo
simple, con treinta y dos bits se pueden representar un total de 2 32 elementos, es decir,
4294967296 direcciones IP. Cuando se ide el protocolo IP y se adopt para crear la
arquitectura de Internet, se pens que algo ms de cuatro mil millones de direcciones
seran suficientes para identificar unvocamente a cualquier elemento conectado a la red,
sin embargo, al poco tiempo y debido al crecimiento que experiment rpidamente
Internet, se comprob que pronto se quedaran cortas. Fue entonces cuando se
implement una solucin provisional hasta que se pusiese en marcha un nuevo
protocolo IP. Dicha solucin se denomin NAT (Network Address Translation,
Traduccin de Direcciones de Red). El mecanismo NAT, grosso modo, permite que una
nica direccin IP de un elemento de red (un router o enrutador, en este caso), sea
compartida por varios elementos de red conectados en jerarquas inferiores al mismo, de
tal forma que dichos elementos de red no estn directamente conectados a Internet, sino
que conforman una red privada que se conecta a Internet a travs del router.
As pues, esta comparticin de la misma direccin IP por parte de varios elementos
conectados a un router, sumado al hecho de que las direcciones IP son, normalmente,
concedidas por el operador o proveedor de servicios de forma dinmica (es decir, que
una misma direccin IP puede ser asignada por el operador a varios routers en distintos
momentos), ofrece la posibilidad de que varios elementos de red y, por tanto, de
ordenadores, puedan estar usando la misma direccin IP en el mismo momento, e
incluso en momentos distintos. Por tanto, a la hora de evaluar la autora fehaciente de un
delito informtico, esta eventualidad constituye un gravsimo problema.
En la nueva versin del protocolo IP, conocida como IPv6 y que an no ha sido
implantada definitivamente, el problema de la escasez de direcciones IP queda
solventado. Esto se debe a que las nuevas direcciones estarn formadas por ocho
conjuntos de diecisis bits, lo que proporcionar un total de 2128 direcciones IP o, lo que
es lo mismo, unos 340 sextillones de direcciones.
En muchas causas judiciales, sobre todo penales, iniciadas a partir de investigaciones de

los diferentes Grupos de Delitos Informticos de cada una de las distintas Fuerzas y
Cuerpos de Seguridad del Estado, es necesaria la identificacin de la direccin IP desde
la que se comete el delito, siendo sta cotejada con los distintos operadores, al objeto de
identificar al abonado que tena asignada esa direccin IP durante el momento de la
comisin del delito. Esta identificacin nicamente puede realizarse si el operador, an
concediendo las direcciones IP de forma dinmica entre los distintos abonados, no
comparte direccin IP entre varios, es decir, no utiliza el mecanismo NAT (lo cual
pueden permitrselo nicamente las grandes compaas de Telecomunicaciones).
Antes de proceder al cotejo de la direccin IP desde la que se ha cometido el delito, al

objeto de conocer quin es el abonado que se encuentra detrs de esa direccin IP, es
necesario que el perito informtico (bien sea un perito informtico judicial, bien sea un
perito informtico perteneciente a las Fuerzas y Cuerpos de Seguridad del Estado),
obtenga, mediante un anlisis forense de los discos duros pertenecientes a los sistemas
sobre o mediante los que se han cometido los delitos, la mencionada direccin IP. Para
ello, primeramente, ser necesario realizar una copia de cada uno de estos discos duros
y, si bien en el caso de que el perito informtico sea un funcionario de los Cuerpos y
Fuerzas de Seguridad del Estado, no es necesario que un fedatario pblico est presente
durante todo el proceso del clonado de los discos duros, tal y como reza la Sentencia
1599/1999 del Tribunal Supremo, s se deber indicar en el informe anexo o atestado
cmo se ha realizado dicho proceso, al objeto de que quede claro que la cadena de
custodia ha sido conservada en todo momento.
Una vez los discos duros han sido clonados, es necesario analizar las copias obtenidas.
El anlisis de los discos duros debe focalizarse sobre losficheros de log de los sistemas
atacados o mediante los que se ha cometido el delito. Un fichero de log es un archivo
informtico que registra todas las actividades de un sistema informtico. As pues, es
necesario que los ficheros de log sean analizados concienzudamente al objeto de poder
determinar el momento exacto en el cual se cometi el delito y la direccin IP desde la
cual se realiz dicha actividad delictiva. Una vez se ha obtenido la direccin IP desde la
cual se ha cometido el delito, as como la fecha y hora en la que se cometi el mismo,
tanto la direccin IP, como la fecha y la hora, deben ser cotejadas con el operador, al
objeto de conocer quin es el abonado que estaba detrs de la direccin IP en el
momento en el que se cometi el delito. Es necesario tambin tener en cuenta ciertas
variables importantes, como que por ejemplo, la fecha y la hora del sistema informtico
que est siendo analizado, puede no coincidir con la fecha y la hora de los sistemas
informticos del operador, o pudo no coincidir en el momento en el que se estaba
cometiendo el delito.
Si el proceso tcnico de obtencin de la direccin IP no est claro o, si se sospecha que
la cadena de custodia no ha sido conservada, debe impugnarse el proceso y presentarse
un informe contra-pericial informtico en los primeros estadios de la causa judicial, tal y
como deja claro la Sentencia 2222/2013 del Tribunal Supremo, ya que una vez que la
documentacin ha sido aportada a la causa y no impugnada, sta se dar por admitida de
forma definitiva. As pues, por ejemplo, en un recurso de casacin no cabr la
posibilidad de que el Tribunal Supremo acepte la nulidad de alguna de las pruebas.
Para finalizar, la identificacin de la direccin IP desde la que se cometi el delito

informtico y su asociacin con el abonado en ese momento preciso del tiempo, no es
en absoluto una condicin necesaria y suficiente para inculpar al mismo en la comisin
del delito, tal y como reza laSentencia 8316/2012 del Tribunal Supremo. Esto es debido
a que, aunque la direccin IP haya sido escrupulosamente obtenida, conservando en
todo momento la cadena de custodia, es extremadamente difcil asegurar que era el
abonado quien estaba sentado delante del ordenador en ese momento cometiendo
actividades delictivas, debido a que existen varias casusticas que podran argirse en
contra, como por ejemplo que la red inalmbrica fue pirateada, que otra persona estaba
usando el ordenador, etc. Por tanto, para certificar con total seguridad que alguien
cometi un delito desde una direccin IP, no vale nicamente con identificar al abonado,
sino que es necesaria la realizacin de un peritaje informtico forense sobre el contenido
del disco o discos duros de su ordenador u ordenadores, en los que se encuentre material
relacionado con la comisin del delito.
Diferencia entre un acta

notarial de presencia y un
peritaje informtico
22 marzo, 2015blog
En numerosas ocasiones, como ya se ha explicado en varios artculos, es necesario el

levantamiento de un acta notarial que acompae a un informe pericial
informtico. Por ejemplo, cuando se realiza la clonacin un disco duro, para
garantizar el mantenimiento de la cadena de custodia, es necesario que un fedatario
pblico, bien un notario, bien un secretario judicial (en funcin del procedimiento en el
que se encuentre el perito informtico), de fe pblica del correcto clonado del disco
duro mediante un acta de presencia y, mediante un acta de depsito, quede en
custodia de una de las copias generadas al objeto de que cualquier otro perito
informtico pueda realizar un anlisis forense del disco partiendo exactamente del
mismo estado en que estaba el disco original.
As pues, en caso de que un notario, como fedatario pblico, deba dar fe de las
actuaciones de un perito informtico, existen varios tipos de acta notarial, siendo
el acta de presencia una de las ms comunes. En este tipo de acta notarial, el notario
da fe de lo que ve, literalmente. Esto significa que, si por ejemplo un notario, es
requerido para dar fe de la existencia de determinados correos electrnicos, o de
determinadas conversaciones mantenidas a travs de alguna aplicacin de mensajera
instantnea como WhatsApp, o bien de cierto contenido en alguna pgina de Internet o
red social, el fedatario pblico podr dar fe de lo que ve, pero en ningn caso podr
asegurar que lo que ve es autntico y/o no est manipulado. Por tanto, el notario no
podr certificar que los correos electrnicos son autnticos, ni que lasconversaciones
mantenidas a travs de WhatsApp son reales, ni tampoco de que el contenido de cierta
pgina web o red social es veraz y no est manipulado (entre otras cosas). Esta
eventualidad aparece reflejada en el artculo 199 del Reglamento de la organizacin y
rgimen del Notariado, en el que se decreta que un acta notarial de presencia, no
podr extenderse a hechos cuya constancia requieran conocimientos periciales. Es
decir, un notario no puede asegurar la autenticidad de nada que requiera
conocimientos tcnicos, siendo necesario para ello el anlisis de un perito (un perito
informtico en el caso de conocimientos tcnicos informticos).
Por tanto, para poder asegurar la autenticidad del contenido tcnico reflejado en un
acta notarial de presencia, es necesario un anlisisdirecto de dicho contenido, es
decir, no bastara con analizar nicamente el acta notarial, sino que sera necesario un
anlisis del contenido tcnico que se declara como verificado visualmente por el notario
en el acta. Por ejemplo, sera necesario realizar un anlisis pericial de los correos
electrnicos, o de las conversaciones de WhatsApp, o bien del contenido de la pgina
web o red social o de cualquier otro contenido tcnico que sea presentado ante el
notario. As pues, siempre es necesario que un perito informtico colegiado analice
cualquier contenido tcnico incluido en un acta notarial de presencia, al objeto de
verificar la autenticidad del mismo, de tal forma que el perito informtico pueda
realizar un informe pericial informtico fcilmente comprensible por un juez y por
cualquier profano en la materia.
Si nicamente se presenta en un juicio el acta notarial de presencia, alegando que el

contenido tcnico incluido en la misma es autntico y/o no est manipulado, sin aportar
un informe pericial informtico que respalde dicho acta, la parte contraria podr
impugnarla alegando que, el notario, en ningn momento, da fe de la autenticidad
del contenido tcnico incluido en el acta, sino nicamente de lo que se le ha
mostrado. Como conclusin, un peritaje informtico y un acta notarial de presencia son
necesariamente complementarios, de tal forma quecualquier acta notarial de
presencia en la que se incluya contenido tcnico informtico, debe ser respaldada
por un peritaje informtico en el que se analice y se explique exhaustivamente el
acta notarial y se determine la autenticidad y/o no manipulacin del contenido
incluido en el mismo.
El contra-peritaje
informtico y el metaperitaje informtico
18 marzo, 2015blog
Muchos de los informes periciales que realiza un perito informtico a lo largo de su

carrera, son lo que en la jerga se denomina contra-peritajes informticos o metaperitajes informticos. A continuacin, se explicar en qu consiste cada uno de ellos.
Para la realizacin tanto de un contra-peritaje informtico como de un meta-peritaje
informtico, es necesario contar con un perito informtico que cumpla la Ley de
Enjuiciamiento Civil.
Un contra-peritaje informtico consiste en analizar un informe pericial

informtico desde un punto de vista crtico y emitir un dictamen pericial de los
fallos metodolgicos y/o errores que se adviertan en el mismo, de tal forma que se
puedan rebatir las conclusiones que el perito informtico firmante del informe
original emiti en su dictamen. As pues, el enfoque con el que un perito informtico
debe afrontar un contra-peritaje informtico es, primeramente, comprobar que el perito
informtico firmante del informe original cumpli los protocolos de la informtica
forense y, posteriormente, que no haya habido ningn error en la realizacin de las
actuaciones ni tampoco en la extraccin de las conclusiones. Por tanto, un perito
informtico debe afrontar con un triple enfoque la realizacin de un contra-informe
pericial informtico; por una parte, metodolgico, por otra parte, prctico y, por ltimo,
conclusivo. As pues, cuando se desarrolla un informe pericial informtico, es vital
prestar sumo cuidado a todos los detalles, puesto que cualquier error cometido puede
ser aprovechado por el perito informtico de la otra parte para contradecir al perito
informtico firmante del informe original. Este consejo tambin debe servirle a un
perito informtico a la hora de realizar un contra-informe pericial, es decir, se debe
buscar muy cuidadosamente cualquier error metodolgico, prctico o en las
conclusiones del informe pericial que se est analizando y rebatir el mismo desde todos
los mbitos posibles, siendo absolutamente imparcial y criticando nicamente
aquellos puntos y/o conclusiones que sean rebatibles. Se suele requerir la realizacin de
contra-informes periciales informticos cuando, en un juicio, una de las partes no est
de acuerdo con el peritaje informtico presentado por la otra parte y requiere de los
servicios de un perito informtico para rebatir el informe presentado.
Por el contrario, un meta-peritaje informtico consiste en el anlisis, desde un punto

de vista pericial, de un peritaje informtico. Es decir, se trata de realizar un
peritaje sobre un peritaje informtico. En este caso, el perito informtico debe
enfocar el meta-informe pericial desde el o los enfoques a partir de los cuales le ha sido
encargado el mismo; as pues, se podra enfocar desde cualquiera de los mbitos
anteriormente descritos que serviran para afrontar un contra-informe pericial, a los que
habra que aadir un anlisis de los puntos y conclusiones que s son correctos en el
informe pericial original, as como un anlisis de los honorarios cobrados por el perito
informtico firmante del informe original. Se suele solicitar un meta-peritaje
informtico cuando no se est de acuerdo con las actuaciones llevadas a cabo y/o los
honorarios cobrados por un perito informtico en la realizacin de un peritaje
informtico.
contenidos en pginas
web y redes sociales como
Facebook, Twitter, Tuenti,

etc.
7 febrero, 2015blog
Existen ocasiones en las que un perito informtico debe realizar un peritaje informtico
sobre el contenido concreto de una pgina web en un momento determinado del tiempo.
Las pginas web son elementos dinmicos, es decir, pueden cambiar con el transcurso
del tiempo, de tal forma que la informacin que es mostrada en una web en un momento
concreto del tiempo, puede perderse cuando se actualiza la web.
As pues, cuando un perito informtico se enfrenta a la realizacin de un informe
pericial informtico sobre el contenido de una web en un momento concreto, tiene dos
opciones:
1.
Acudir, junto al cliente, al notario y guiar a ste al objeto de que pueda certificar
el contenido de la pgina web en cuestin. Al final del proceso, se tendra un acta
pblica del contenido de la pgina web, que habra que adjuntar al peritaje informtico y
explicar en el mismo.
2.
Utilizar herramientas informticas desarrolladas por algn tercero de

confianza que certifiquen el contenido de una pgina web, generando uno o varios
ficheros firmados digitalmente con dicho contenido. Dichos ficheros seran adjuntados
al peritaje informtico y, en el mismo, deberan ser explicados. Dentro de estas
herramientas, se destaca eGarante, puesto que es utilizada, entre otros, por la Guardia
Civil.
La decisin de la opcin elegida debe recaer siempre en el cliente, una vez que el perito
informtico le haya asesorado y explicado las ventajas y desventajas de cada opcin.
En caso de que el cliente decida acudir al notario, el perito informtico debe orientar al
mismo en la mejor forma de realizar el levantamiento del acta pblica en la que
aparezca reflejado el contenido de la web. Una vez el notario haya expedido el acta
notarial, sta debe acompaarse al informe pericial y el perito informtico deber
explicar su contenido en el mismo.
Por el contrario, el cliente puede preferir realizar la certificacin del contenido de la
web mediante una herramienta desarrolladla por algn tercero de confianza, como la ya
indicada eGarante. En este caso, se deber explicar en el peritaje informtico el
funcionamiento, grosso modo, de este tipo de herramientas.
En ambos casos, puede ocurrir que el contenido de la web ya haya sido modificado y
que lo nico que se pueda certificar sea el contenido inmediatamente anterior, para lo
cual ser necesario, probablemente, utilizar el sistema de cach web de algn buscador
como Google, que almacena el contenido de cada una de las pginas web indexadas en
el buscador, de tal forma que, cuando una web es actualizada, sta no se actualiza en el
sistema de cach web hasta que un robot o araa del buscador vuelve a visitar la web.
En este caso, ser necesario explicar tambin en el informe pericial informtico, en qu
consiste un sistema de cach web y cmo funciona. Si la pgina web cuyo contenido se
desea certificar en el peritaje informtico ya ha sido modificada y, la versin en cach
web del buscador an no ha sido actualizada, de tal forma que los cambios an no se
han visto reflejados en la versin de la cach, la mejor opcin es certificar la versin de
la cach, a la mayor brevedad, mediante una herramienta de tercero de confianza como
eGarante. Esto es as debido a que, si se decide acudir al notario, en el tiempo en el que
se acude al mismo, los robots del buscador pueden visitar la web y actualizar los
cambios de la misma en la versin de la cach, pudiendo resultar fatal para el objetivo
del informe pericial informtico en caso de que los cambios recin realizados sobre la
web afecten al contenido que se desea certificar.
Asimismo, en caso de que se desee certificar, en un informe pericial informtico,

determinado contenido de una red social como Facebook, Twitter, Tuenti, o cualquier
otra, el procedimiento es equivalente al ya sealado. Como es posible que, para
certificar en un peritaje informtico determinados contenidos de una red social,
especialmente aqullos incluidos dentro de una cuenta personal, sea necesario
autentificarse con usuario y contrasea en la red social, el cliente deber efectuar dicha
autentificacin delante del perito informtico (y, en su caso, delante del notario), sin
revelar nunca a ste la contrasea, al objeto de que el perito informtico pueda realizar
su trabajo.
correos electrnicos
31 diciembre, 2014blog
Cuando un perito informtico es requerido para la realizacin de un informe pericial

informtico sobre correos electrnicos, es necesario realizar una doble distincin
topolgica en el conjunto de los correos electrnicos a peritar. Esta doble distincin, va
en consonancia con la dificultad en la realizacin del informe pericial informtico:
1.
En funcin de si se trata de correos electrnicos enviados o recibidos. Es ms

complejo realizar un anlisis pericial informtico de un correo electrnico enviado que
de uno recibido puesto que, en tal caso, podra ser tambin necesario verificar que dicho
correo electrnico fue entregado al destinatario.
2.
En funcin del servidor en el que se almacenan los correos electrnicos. As

pues, stos pueden almacenarse en servidores de correo electrnico locales, de terceras
empresas proveedoras de este tipo de servicios, o bien puede tratarse de correos
electrnicos almacenados en servidores de proveedores de servicios en la nube (los
cuales son gratuitos para los particulares, aunque de pago para las empresas), como
GMail (Google), MSN u Office 365 (Microsoft), Yahoo, etc.
Una vez realizada la doble distincin topolgica, se explicar, tal y como se mencion
al principio, su correlacin con la dificultad en la realizacin del informe pericial
informtico.
En primer lugar, se explicar por qu es ms complejo peritar o certificar la autenticidad

de un correo electrnico enviado que de uno recibido. Cuando una persona recibe un
correo electrnico, ste puede permanecer almacenado en el servidor de correo
electrnico cuando se realiza la entrega al destinatario, o ser eliminado del mismo al
realizar la entrega. As pues, si el servidor est configurado para mantener los correos
electrnicos entregados, existira una copia del correo electrnico que se desea peritar
en dicho servidor, por lo que sera necesario cotejar la copia entregada con la copia
almacenada en el servidor. En caso de que el servidor est configurado para eliminar los
correos electrnicos entregados, nicamente se tendra acceso a la copia local, por lo
que sera necesario un anlisis exhaustivo de las cabeceras del correo electrnico
recibido, que arrojaran un conjunto de saltos entre servidores de correo electrnico,
estableciendo el camino por todos los servidores por los cuales ha pasado el correo
electrnico desde que fue enviado hasta que fue recibido. El anlisis, por parte del perito
informtico, de las cabeceras del correo electrnico, as como del fichero contenedor del
mismo y de otros elementos relacionados, determinara la autenticidad del correo
electrnico.
En caso de que se trate de correos electrnicos enviados, stos no tienen cabeceras, por
lo que realizar un informe pericial sobre los mismos es ms complejo, dado que este
tipo de correos electrnicos se pueden falsificar ms fcilmente. Asimismo, un correo
electrnico enviado no tiene por qu llegar a destino debido a varias causas, por lo que
lo recomendable es, siempre, enviar un correo electrnico con confirmacin de
entrega, que no es ms que otro correo electrnico, en este caso de confirmacin,
enviado por el servidor receptor del correo electrnico al servidor emisor del mismo y
que, garantizara, que dicho correo electrnico ha sido entregado. El problema estriba en
que, como la confirmacin de entrega tambin es un correo electrnico, puede
igualmente, por alguna razn variada, no llegar al destinatario (en este caso, el emisor
del correo electrnico original), lo que ofrece una idea de todas las casusticas posibles
que intervienen en la investigacin de la autenticidad de un correo electrnico enviado y
la dificultad inherente en la realizacin de un informe pericial informtico sobre dicha
tipologa de correos electrnicos.
En segundo lugar, se explicar la distincin topolgica referente al tipo de servidor en el

que se almacenan los correos electrnicos que deben ser peritados. As pues, si el
servidor de correo electrnico ha estado, en algn momento, accesible de forma fsica o
remota a la persona o empresa objeto del peritaje informtico, ser necesario un anlisis
informtico forense de dicho servidor, con objeto de comprobar que ste no fue
manipulado malintencionadamente. Si, por el contrario, el servidor de correo
electrnico se encuentra situado en una tercera empresa (proveedora del servicio de

correo electrnico), ser decisin del perito informtico (en la que influir el anlisis de
las primeras evidencias recolectadas), si es necesaria o no la realizacin de un anlisis
informtico forense de dicho servidor (no debera serlo en caso de que el proveedor
cumpla con la regulacin nacional en materia de proteccin de datos -LOPD- y de
prestacin de servicios -LSSI-, as como con los estndares internacionales relacionados
con la seguridad y el tratamiento de la informacin). Si, por el contrario, los correos
electrnicos se encuentran almacenados en algn proveedor de servicios en la nube
como GMail (Google), MSN u Office 365 (Microsoft), Yahoo, etc., no ser posible
acceder directamente a sus servidores y, tanto los correos electrnicos enviados como
recibidos, debern peritarse mediante herramientas que certifiquen el contenido interno
de una pgina web en la que se ha iniciado sesin, tales como eGarante, usada entre
otros organismos, por la Guardia Civil.
Asimismo, como se advirti en la primera parte del artculo, adems del anlisis forense
del servidor en el que se almacenan los correos electrnicos y, en caso de que se trate de
correos electrnicos recibidos, tambin ser necesario un examen forense del fichero
contenedor de los correos electrnicos (situado en el disco duro del destinatario), con
objeto de verificar que los correos electrnicos peritados no fueron manipulados
malintencionadamente despus de la entrega del servidor.
Por otra parte, es de resear que, en incontables ocasiones, se presentan en los juzgados
para ser adjuntados a causas judiciales, supuestos correos electrnicos sin el
correspondiente aval de un peritaje informtico elaborado por un perito informtico
colegiado y, debido al desconocimiento general que existe sobre la informtica, son
admitidos como prueba. Estos supuestos correos electrnicos son, normalmente, burdas
falsificaciones realizadas con un procesador de textos ya que, en la mayora de los
casos, ni siquiera son presentados con las correspondientes cabeceras, ni tampoco con
un anlisis informtico forense del fichero contenedor de los correos electrnicos ni del
servidor en que se almacenaron los mismos antes de ser entregados al destinatario. Este
tipo de pruebas pueden ser fcilmente descartadas por el juez con la presentacin de un
contra-informe pericial informtico que demuestre que son susceptibles de haber sido,
como mnimo, manipuladas y, en el peor de los casos, falsificadas.
El perito informtico y el
rastro en Internet y las
redes sociales
29 octubre, 2014blog
En los tiempos actuales, Internet se ha convertido en una herramienta fundamental para

la comunicacin global. Adems, en los ltimos aos, las conocidas como redes
sociales, han experimentado un autntico auge, tanto en nmero de webs que ofrecen
dicho servicio, muchas veces incluso segmentado (existen redes sociales tan dispares
como las dedicadas a citas, a cazadores, o a amantes de la cocina, por poner unos
ejemplos), as como en nmero de usuarios y en informacin que circula a travs de las
mismas. Tambin existen numerosos foros en los que los usuarios (de forma, en
principio, annima, aunque no siempre es as), se comunican entre s sobre una o varias
temticas determinadas.
Todo lo anterior implica que los usuarios van dejando cierto rastro en Internet a travs
de sus fotos, vdeos o sus comentarios en las redes sociales y los foros, lo que implica
que dicho rastro permanece en Internet y que cualquier persona puede tener acceso al
mismo. Esto no tendra por qu tener demasiada importancia si no fuese porque, en
cualquier momento, cualquier persona que quisiera obtener informacin sobre el usuario
para cualquier fin, podra contratar a un experto que siguiera el rastro del objetivo por
Internet y, uniendo toda la informacin desperdigada en cada red social o foro de
Internet (que el usuario pensaba que, al estar separada, no podra usarse en conjunto),
fuese capaz de hacerse una composicin muy precisa de la personalidad del objetivo y
usarla en su contra, utilizando para ello la amenaza y/o la coaccin.
Es en este momento en el que entra en juego el perito informtico como experto en la
materia ya que, desde el momento en que el usuario pudiera tener la sospecha de que,
determinada informacin que hubiese subido a una red social o escrito en un foro
pudiese estar siendo utilizada en su contra (por ejemplo para realizarle chantaje con
hacer pblicos ciertos aspectos de su privacidad), ste debera ponerse en contacto
inmediato con un perito informtico y tambin con un abogado que le asesoren a nivel
tcnico y legal, respectivamente, adems de cursar denuncia en los Cuerpos y Fuerzas
de Seguridad del Estado (los encargados de estos asuntos son la Guardia Civil y el
Cuerpo Nacional de Polica). En el aspecto tcnico, el perito informtico puede realizar,
desde un punto de vista profesional y siempre contando con la ayuda del usuario (que
debe indicarle al perito informtico en qu redes sociales y foros participa), el mismo
procedimiento de rastreo en Internet que puede estar siendo usado contra l, pudiendo
asesorar a ste sobre la mejor forma de borrar la informacin de Internet y por tanto el
rastro, manteniendo en todo momento el secreto profesional de la informacin obtenida.
Dentro de la rama forense de la eliminacin del rastro en Internet, es necesario remarcar

el caso particular de los difuntos. Cuando una persona fallece, si en vida tuvo cierta
actividad en la red, su rastro permanecer en las pginas web o redes sociales en las que
se dio de alta hasta que los herederos soliciten la retirada de la informacin. La forma de
proceder, en estos casos, es que uno de los herederos legales remita, identificndose con
su propio DNI y con la documentacin legal pertinente que le acredite como heredero
del difunto, una comunicacin oficial (burofax) con la informacin legal del difunto, su
parte de defuncin y una carta solicitando la retirada de la informacin relacionada con
el difunto a la mayor brevedad. Para proceder de esta forma, los herederos deben tener
totalmente identificados los sitios web o redes sociales en los que el difunto se dio de
alta con su nombre y apellidos o direccin de correo electrnico (direccin que, en cuyo
caso, tendrn que acreditar que efectivamente perteneca al difunto, lo cual no es
sencillo); porque en los sitios en los que el difunto operase bajo un seudnimo
(nicknameen la jerga de Internet), ser muy difcil que los datos sean dados de baja, al
ser muy compleja la identificacin fehaciente del difunto con los mencionados
seudnimos. En caso de que las pginas web contactadas no hagan caso de la solicitud
oficial, sera conveniente que los herederos contactaran con un perito informtico que
les asesore en la mejor manera de proceder para la eliminacin del rastro.
Igualmente, tambin seguirn apareciendo entradas en la red sobre actividades
empresariales relacionadas con el difunto, debido a que los boletines mercantiles estn
conectados a la red y se actualizan automticamente, alimentando a travs de sistemas
de agregacin a terceras pginas web. Este caso es ms complejo por la cantidad de
pginas web que normalmente suelen estar implicadas y requiere de una asesora
personalizada de un perito informtico.
Asimismo, recientemente el Tribunal de Justicia de la Unin Europea, ha fallado a favor

de que buscadores como Google deban retirar, a peticin de cualquier usuario
interesado, aquellos enlaces que dicho usuario considere contrarios a sus intereses y/o
reputacin, siempre y cuando stos puedan ser obtenidos a partir de la bsqueda directa
del nombre y apellidos del usuario, en lo que se ha venido en llamar el derecho al
olvido. Estaran aun por ver las implicaciones que podra tener esta sentencia para el
caso de la eliminacin de informacin de Internet de personas difuntas, pero Google ya
ha comenzado a aplicar dicha sentencia para aquellas personas interesadas en que no
aparezcan determinados enlaces a partir de una bsqueda realizada con su nombre y
apellidos.
Detecta polica ciberntica 427 delitos en tres

meses
Jonathan Ncar Julio 17, 2013 1:10 am
El robo de identidad, amenazas, fraudes y el acoso a menores son los crmenes ms
comunes que se atienden en la ciudad de Mxico
Extorsin, robo de identidad, fraude, cibergrooming, pornografa infantil,

suplantacin de sitios web, e incluso trata de personas, son algunos de
los 427 casos que ha atendido en el ltimo trimestre la Unidad Policial de
Ciberdelincuencia Preventiva de la Secretara de Seguridad Pblica del
Distrito Federal (SSP-DF).
Desde que se puso en marcha la Polica de Ciberdelincuencia

Preventiva, del 3 de abril al 14 de julio de este ao, se han registrado 427
casos, de los cuales 174 fueron por incidentes sociales en internet que
incluyen delitos como robo de identidad, amenazas, fraudes, y
cibergrooming (acoso a menores a travs de internet); 43 son por
suplantacin de sitios web; 32 casos del llamado virus de la polica; y
cuatro mandamientos ministeriales tanto del fuero comn como del
federal, seal Vctor Hugo Ramos Ortiz, subsecretario de Inteligencia e
Informacin de la SSP capitalina.
En entrevista para 24 Horas, el subsecretario abund que 89 casos

captados en dicho periodo son referentes a ventas fraudulentas ofertadas
a travs de internet, 87 son reportes de sitios web por contenido
inapropiado, principalmente desnudez y pornografa infantil.
Sobre este ltimo, ayer se inform de la desarticulacin por parte de

autoridades estadunidenses de una red conformada por 255 personas,
de nueve pases, entre ellas un mexicano. Las autoridades reportaron la
identificacin de 61 vctimas, pero las no identificadas son an ms; la
mayora de ellas estn entre los tres y los 16 aos.
Patrullaje en la red
Sobre el funcionamiento de la unidad policial, el subsecretario seal

que todos los casos atendidos responden a reportes y solicitudes de la
ciudadana, en donde nosotros los recibimos a travs de nuestras
cuentas en redes sociales, intervenimos y si presumimos que hay algn
ilcito los canalizamos a la Procuradura de Justicia capitalina (PGJDF)
() detectamos en la red patrones, generamos alertas, notificamos a la
autoridad, hablamos a las empresas de internet pero nuestra funcin es
la prevencin, asever Ramos Ortiz.
Cmo hacemos un ciberpatrullaje? Observamos las formas de operar

sobre todo en ventas fraudulentas, por ejemplo, cuando ofrecen
vehculos muy por debajo del precio del mercado, hacemos un anlisis
de los datos de la persona que lo est ofreciendo y vemos contra los
datos que tenemos registrados y as confirmamos la comisin del delito,
precis al respecto del funcionamiento de este grupo especializado
conformado con un estado de fuerza de 30 elementos, nmero que se
prev duplicar en abril prximo.
Recientemente, la unidad ha trabajado en prevenir el delito de trata de

personas a travs de internet. Las adolescentes son enamoradas a
travs de Facebook, se genera un enamoramiento, una seduccin,
cuando finalmente se conocen la joven va a una cita por su iniciativa,
pero despus los familiares ya no saben nada de ellas, y son casos que
intentamos prevenir, advirti el funcionario.
Cmo evitarlo
En la perspectiva del subsecretario, hoy en da resulta inevitable el

acceso a internet, en especial para los jvenes, sin embargo advirti que
en el caso de menores y adolescentes debe existir una responsabilidad
de vigilancia y limitacin de los contenidos por parte de los padres a sus
hijos.
Evitar navegar por sitios inseguros, mantener actualizado el antivirus en

todos los equipos de cmputo y dispositivos, no abrir correos de
remitentes desconocidos por muy atractivo que se vea el encabezado, y
evitar la recepcin y reenvi de cadenas porque muchas veces ah viene
incluido el virus, aconsej.
Durante la entrevista, el subsecretario adelant que como parte de las

medidas preventivas se alista la emisin de una sexta alerta, referente a
las ofertas fraudulentas de productos electrnicos para este prximo
regreso a clases. Hay pginas apcrifas que simulan ser empresas
reconocidas que venden laptops, y tabletas fraudulentas, sin embargo, ni
el sitio web ni los productos son originales.
PARA SABER
Alertas emitidas por la Polica de Ciberdelincuencia Preventiva de la

SSPDF
Virus de la Polica, emitida el 11 de abril. Se trataba de un malware
que amenazaba al usuario con un supuesto mensaje de la Polica
Federal, donde se peda el pago de una multa de entre 200 y 2 mil
pesos. Dos casos en el DF s realizaron los pagos.
Cibergrooming Acoso de menores en internet, emitida el 23 de mayo.
Un perfil acosador busca la confianza del menor (vctima) para despus
buscar un contacto personal o el chantaje de publicacin de
conversaciones, fotos.
Renta de inmueble simulada, emitida el 29 de mayo. Modus operandi

detectado a travs de redes sociales, donde un supuesto arrendamiento
ofreca inmuebles a un precio atractivo donde tras concretar el deposito
el oferente desapareca
Virus de mensajera instantnea, emitido 3 de junio. A travs de un
correo electrnico, los usuarios abren el mensaje recibido y su equipo se
infecta de un virus, el cual se propag a travs de sus contactos de
correo electrnico.
-Venta fraudulenta de vehculos en internet, emitida el 24 de junio. En
sitios web publican ofertan vehculos a precios atractivos y por debajo del
mercado, despus de establecer contacto se pierde contacto con el
vendedor.
DATOS
Los jvenes pasan de 3 y media a 4 horas diarias navegando en internet,

con tendencia a ms horas
En Mxico se tiene un registro de 45 millones de cibernautas; 4 millones

se concentran en el DF.

Análisis Forense y Peritaje Informático

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Análisis Forense y Peritaje Informático

Transféré par

Droits d'auteur :

Formats disponibles

Anlisis Forense y Peritaje Informtico

- Los correos electrnicos como medio de

analticas especializadas a infraestructura tecnolgica que permiten identificar, preservar,

* Describir de manera clara el incidente de seguridad

- Revelacin de secretos, espionaje industrial y

Procesos tcnicos de la informtica forense

(Relacionada: Metadatos, Privacidad y Ciberespionaje gubernamental)

Metodologas en la Informtica forense

un dictamen claro, conciso, fundamentado y con justificacin de las hiptesis que en l se

Recuperacin de Datos: Contraseas y Ficheros

Herramientas para recuperar contraseas.

Nirsoft y SecurityXploded tienen muchas herramientas dedicadas exclusivamente a la

Explorar el disco duro y la memoria

Herramientas para recuperar datos: archivos y correos borrados.

Resultados aceptables en eficacia y en tiempo de recuperacin de Recuva y Puran, los

El software keylogger, tambin conocido como Software de registro de actividades del

Peritaje informtico y Legislacin

(Ver ms sobre Ciberseguridad y Legislacin)

Perfil del Perito informtico

Peritaje Informtico, Direccin

(Relacionado: Legislacin, Direccin IP y Redes P2P)

Los correos electrnicos como medio de prueba

Fotografia Digital HD (High Dfinition) Forense

En un segundo experimento con nuevos voluntarios de la facultad donde Jenkins da

Haciendo un poco de historia, algunos de los primeros programas infecciosos, incluido el

(Ver documento ampliado sobre Malware, vulnerabilidades, gusanos, troyanos y otros)

Malware oculto: Backdoor O Puerta trasera,

Las tcnicas conocidas como rootkits

Usado para designar a un malware que permite la administracin remota de una

de uso no son completamente transparentes y ocultan lo que el programa realmente hace.

ROBO DE INFORMACIN PERSONAL:

Cuando un software produce prdidas econmicas para

REALIZAR LLAMADAS TELEFNICAS: DIALERS

ATAQUES DISTRIBUIDOS: BOTNETS

VULNERABILIDADES USADAS POR EL MALWARE

Una causa de la vulnerabilidad de redes, es la homogeneidad del software

Las memorias USB infectadas pueden daar la computadora durante el arranque.

En algunos sistemas, los usuarios no administradores tienen sobre-privilegios por

componentes identificados como malware. En algunos casos, tambin pueden interceptar

(Ver tambin documento ampliado sobre Metadatos y Anlisis Forense)

Existen numerosas ocasiones en las que un peritaje informtico es determinante en un

Es paradigmtico que en varios de los procesos penales a los que normalmente se

Cuando un perito informtico detecta, en un anlisis forense relativo a un proceso penal

El 19 mayo de 2015, tal y como se recoge en numerosos medios de comunicacin, el

La Sentencia del Tribunal Supremo viene a confirmar la necesidad, ya puesta de

En la autentificacin de conversaciones u otro tipo de contenido en redes sociales, es

estrictamente profesionales mientras duren los trabajos, manteniendo secreto

Debido a la extrema delicadeza de la informacin personal que puede contener una

Cuando un perito informtico afronta un peritaje informtico relativo al incumplimiento

En el contrato de desarrollo de un proyecto software deben especificarse aspectos

Es necesario diferenciar entre el contrato de realizacin de un proyecto software

partes, que un contrato de desarrollo de un proyecto software no es un contrato de

S, an tomadas todas las precauciones contractuales, se produce un litigio y una de las

El perito informtico, habitualmente, debe actuar como rbitro informtico debido al

La realizacin de un arbitraje informtico implica el intento de conciliacin entre las

En la tasacin informtica, el perito informtico deber valorar econmicamente

Por tanto, se puede decir que, en el momento actual, el perito informtico es un

La direccin IP se forma con cuatro conjuntos de nmeros que pueden ir desde el 0

En muchas causas judiciales, sobre todo penales, iniciadas a partir de investigaciones de

Antes de proceder al cotejo de la direccin IP desde la que se ha cometido el delito, al

Para finalizar, la identificacin de la direccin IP desde la que se cometi el delito

Diferencia entre un acta

En numerosas ocasiones, como ya se ha explicado en varios artculos, es necesario el

Si nicamente se presenta en un juicio el acta notarial de presencia, alegando que el