Darwin Vlez

Mario Pazmio
Jos Molina

1717761082
1802990422
1716454333

Laboratorio Informtico Forense

INTRODUCCIN
La creciente oleada de delitos informticos, ha llevado a necesitar el asesoramiento de
expertos en la materia. Es necesaria la extraccin, de las evidencias electrnicas que se
encuentran en los dispositivos informticos o telemticos, consolas, telfonos
inteligentes, Smartphone, servidores al igual que es necesario el anlisis e investigacin
de esas evidencias en un Laboratorio Informtico forense que cuente con la tecnologa de
vanguardia necesaria, que determinara de manera positiva en la valoracin del juzgador.
El constante reporte de vulnerabilidades en sistemas de informacin, el aprovechamiento
de fallas bien sean humanas, procedimentales o tecnolgicas sobre infraestructuras de
computacin en el mundo, ofrecen un escenario perfecto para que se cultiven tendencias
relacionadas con intrusos informticos Estos intrusos poseen diferentes motivaciones,
alcances y estrategias que desconciertan a analistas, consultores y cuerpos especiales de
investigaciones, pues sus modalidades de ataque y penetracin de sistemas varan de un
caso a otro.
El Informe de Seguridad 2014 de Check Point revela la prevalencia y el crecimiento en
las amenazas que asolan las redes empresariales a travs de la informacin obtenida en el
transcurso del ao 2013. Dicho informe est basado en la investigacin colaborativa y el
anlisis en profundidad de ms de 200.000 horas monitorizadas de trfico de red desde
ms de 9.000 Gateways con prevencin de amenazas, en organizaciones de ms de 122
pases.
De acuerdo al Informe de seguridad 2014 de Check Point:

El 84% de las organizaciones analizadas descargaron software malicioso

Cada 60 segundos un host accede a un sitio malintencionado

Cada 10 minutos un host descarga Malware

El 33% de los hosts no tienen versiones de software actualizadas

El 73% de las organizaciones detectaron al menos un bot

El 77% de los bots estn activos por ms de 4 semanas

El 86% de las organizaciones tienen por lo menos una aplicacin de alto riesgo

El 88% de las compaas afirm haber experimentado al menos un incidente con

prdida potencial de datos

En 33% de las instituciones financieras analizadas, informacin de tarjetas de

crdito fue enviada fuera de la organizacin

Dado todo esto, se ha de saber que las evidencias electrnicas, han alcanzado estos
ltimos aos, una importancia capital en la mayora de los procesos judiciales y va
alcanzado mayor cuota, ya que la mayora de los litigios cuentan con un componente
tecnolgico, independientemente del mbito que se trate (civil-penal-mercantil-familiartributario)

Darwin Vlez
Mario Pazmio
Jos Molina

1717761082
1802990422
1716454333

Hoy nadie pone en duda los conocimientos, tcnicas o expertiz de los informticos, pero
no todos son especialistas en todos los casos, sino en una materia determinada y es muy
necesario contar con una entidad que represente a una nutrido grupo de especialistas por
la diversidad de delitos y sobre todo su interpretacin en casos difciles llegando a ser
decisivo su informe o dictamen pericial.
El cliente y su abogado han de contar con el asesoramiento de expertos en la materia de
la informtica forense a la hora de afrontar su defensa o acusacin, plantear su demanda
o contestacin en aquellos procesos donde la evidencia electrnica tendr una
importancia muy importante.

Elementos comunes para anlisis Forense Informtico

La infraestructura informtica a analizar puede ser toda aquella que tenga una Memoria
(informtica), por lo que se incluyen en tal pericia los siguientes dispositivos:

Disco duro de una Computadora o Servidor

Documentacin referida del caso.
Tipo de Sistema de Telecomunicaciones
Informacin Electrnica MAC address
Logs de seguridad.
Informacin de Firewalls
IP, redes Proxy. lmhost, host, Crossover, pasarelas
Software de monitoreo y seguridad
Credenciales de autentificacin
Trazo de paquetes de red.
Telfono Mvil o Celular, parte de la telefona celular,
Agendas Electrnicas (PDA)
Dispositivos de GPS.
Impresora
Memoria USB
Bios

Herramientas comunes para anlisis Forense Informtico

Sleuth Kit (Forensics Kit. Command Line)

Autopsy (Forensics Browser for Sleuth Kit)
Volatility (Reconstruccin y anlisis de memoria RAM)
Py-Flag (Forensics Browser)
Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)
dcfldd (DD Imaging Tool command line tool and also works with AIR)
foremost (Data Carver command line tool)
Air (Forensics Imaging GUI)
md5deep (MD5 Hashing Program)
netcat (Command Line)
cryptcat (Command Line)

Darwin Vlez
Mario Pazmio
Jos Molina

1717761082
1802990422
1716454333

NTFS-Tools
Hetman software (Recuperador de datos borrados por los criminales)
qtparted (GUI Partitioning Tool)
regviewer (Windows Registry)
Viewer
X-Ways WinTrace
X-Ways WinHex
X-Ways Forensics
R-Studio Emergency (Bootable Recovery media Maker)
R-Studio Network Edtion
R-Studio RS Agent
Net resident
Faces
Encase
Snort
Helix
NetFlow
Deep Freeze
hirens boot
Canaima 3.1
Mini XP

Herramientas para el anlisis de discos duros

AccessData Forensic ToolKit (FTK)

Guidance Software EnCase
Kit Electrnico de Transferencia de datos

Herramientas para el anlisis de correos electrnicos

Paraben
AccessData Forensic ToolKit (FTK)
Herramientas para el anlisis de dispositivos mviles[editar]
AccessData Mobile Phone Examiner Plus (MPE+)

Herramientas para el anlisis de redes

E-Detective - Decision Computer Group

SilentRunner - AccessData
NetworkMiner
Netwitness Investigator

Herramientas para filtrar y monitorear el trfico de una red tanto

interna como a internet

Tcpdump
USBDeview
SilentRunner - AccessData
WireShark

Darwin Vlez
Mario Pazmio
Jos Molina

1717761082
1802990422
1716454333

NORMA ISO/IEC 27037:2012

Norma para la Recopilacin de Evidencias
La actuacin de campo de la recopilacin de las evidencias es una actividad extremamente
delicada y compleja. La vala legal y tcnica de las evidencias en la mayora de ocasiones
depende del proceso realizado en la recopilacin y preservacin de las mismas.
La norma ISO/IEC 27037:2012 Information technology Security techniques
Guidelines for identification, collection, acquisition and preservation of digital evidence
viene a renovar a las ya antiguas directrices RFC 3227 estando las recomendaciones de
la ISO 27037 ms dirigidas a dispositivos actuales y estn ms de acorde con el estado
de la tcnica actual.
Esta norma ISO 27037 est claramente orientada al procedimiento de la actuacin pericial
en el escenario de la recogida, identificacin y secuestro de la evidencia digital, no entra
en la fase de Anlisis de la evidencia.

Las tipologas de dispositivos y entornos tratados en la norma son los siguientes:

Equipos y medios de almacenamiento y dispositivos perifricos.
Sistemas crticos (alta exigencia de disponibilidad).
Ordenadores y dispositivos conectados en red.
Dispositivos mviles.
Sistema de circuito cerrado de televisin digital.

Los principios bsicos en los que se basa la norma son:

Aplicacin de Mtodos
La evidencia digital debe ser adquirida del modo menos intrusivo posible tratando de
preservar la originalidad de la prueba y en la medida de lo posible obteniendo copias de
respaldo.
Proceso Auditable
Los procedimientos seguidos y la documentacin generada deben haber sido validados y
contrastados por las buenas prcticas profesionales. Se debe proporcionar trazas y
evidencias de lo realizado y sus resultados.
Proceso Reproducible
Los mtodos y procedimientos aplicados deben de ser reproducibles, verificables y
argumentables al nivel de comprensin de los entendidos en la materia, quienes puedan
dar validez y respaldo a las actuaciones realizadas.
Proceso Defendible
Las herramientas utilizadas deben de ser mencionadas y stas deben de haber sido
validadas y contrastadas en su uso para el fin en el cual se utilizan en la actuacin.

Darwin Vlez
Mario Pazmio
Jos Molina

1717761082
1802990422
1716454333

Para cada tipologa de dispositivo la norma divide la actuacin o su tratamiento en tres

procesos diferenciados como modelo genrico de tratamiento de las evidencias:
La identificacin
Es el proceso de la identificacin de la evidencia y consiste en localizar e identificar las
potenciales informaciones o elementos de prueba en sus dos posibles estados, el fsico y
el lgico segn sea el caso de cada evidencia.
La recoleccin y/o adquisicin
Este proceso se define como la recoleccin de los dispositivos y la documentacin
(incautacin y secuestro de los mismos) que puedan contener la evidencia que se desea
recopilar o bien la adquisicin y copia de la informacin existente en los dispositivos.
La conservacin/preservacin
La evidencia ha de ser preservada para garantizar su utilidad, es decir, su originalidad
para que a posteriori pueda ser sta admisible como elemento de prueba original e ntegra,
por lo tanto, las acciones de este proceso estn claramente dirigidas a conservar la Cadena
de Custodia, la integridad y la originalidad de la prueba.

Diseo de un laboratorio Informtico Forense para la UISEK

De acuerdo a las temticas expuestas en el compendio del documento, se plantea el diseo
de un laboratorio para la Universidad Internacional SEK. Donde se detallaran los
elementos del mismo con un valor aproximado, cabe destacar que algunos elementos no
se encuentran en el pas por lo cual se contemplan valores de importacin dentro del
presupuesto que se detalla a continuacin en el siguiente cuadro:

Elemento
Caja Fuerte

ELEMENTOS PARA LABORATORIO INFORMATICO FORENSE

Valor
Descripcin
Cantidad
Aproximado Valor Total
Caja Fuerte Mediana Digital
50x35x30
2
$250.00
$500.00
Intel i7, 16GB RAM, 4GB Disco
Duro
20
$600.00 $12,000.00
Pantallas LCD 20 Pulgadas
20
$120.00
$2,400.00

Computadores
Monitores
Discos Duros
Externos
Discos Duros NAS
Servidor NAS
Servidor de Entorno
UPS
Proyector
Impresora
Rack de Pared

Tamao 3.5 Capacidad 2Tb

Tamao 2.5' Capacidad 4 Gb
Sinology 8 bahas
Server DELL T320
5000 Watts
EPSON X5240 3LCD 3200LUM.
EPSON L210
12 Servicios

20
10
1
1
1
1
2
1

$130.00
$190.00
$2,000.00
$800.00
$2,000.00
$700.00
$250.00
$200.00

$2,600.00
$1,900.00
$2,000.00
$800.00
$2,000.00
$700.00
$500.00
$200.00

Darwin Vlez
Mario Pazmio
Jos Molina
Canaletas
Cajetines
Jacks
Face Plates
Patch Panel
Patch Cords
Organizador
Cable UTP
Mesas
Escritorio
Clonador de discos
Pizarra
Pantalla
Corcho

Plsticas 25x45 cm
Sobrepuestos
Netx Cat 6
Next color Blanco
24 Puertos
3 pies & 7 pies
Organizador de cables 40 x 40
Rollo de 305 m marca NEXT
Escritorios de trabajo
Escritorio Instructor
StarTech.com SATA Hard Drive
HDD Duplicator Dock
Pizarrn
Pantalla Proyector
Marco de corcho

80
50
25
25
1
40
1
2
5
1
10
1
1
1

1717761082
1802990422
1716454333
$6.00
$480.00
$2.00
$100.00
$3.00
$75.00
$1.50
$37.50
$120.00
$120.00
$5.00
$200.00
$15.00
$15.00
$180.00
$360.00
$180.00
$900.00
$200.00
$200.00
$100.00
$300.00
$300.00
$200.00
TOTAL:

$1,000.00
$300.00
$300.00
$200.00
$29,437.50

El laboratorio deber estar precisamente equipado y localizado en un nivel adecuado de

seguridad para poder llevar a cabo el trabajo. Un laboratorio en general necesitar contar
con las siguientes reas:

rea de recepcin y almacenamiento

rea de reuniones y espera
Almacenamiento de equipos y posesiones personales
rea de imgenes
rea de desmontaje
rea de almacenamiento seguro
rea de investigacin sensible
rea de escaneado
rea de anlisis
Oficina de administracin

El laboratorio deber contar con una seguridad adecuada, en el establecimiento no tendrn

que haber espacios para reas de recepcin donde el personal no sea del laboratorio, ni
mucho menos que tengan que acceder al rea de procesamiento del laboratorio.
Dependiendo de la configuracin del rea de trabajo en el laboratorio, se debe considerar
la separacin de las estaciones de trabajo en cubculos separados para mantener la
privacidad, evitar la visibilidad inadvertida del material que se tenga en pantalla de una
estacin de trabajo por cualquier persona que utilice otras estaciones de trabajo. Siempre
que sea posible, los monitores deben colocarse lejos del punto de acceso al laboratorio,
por dos razones: la primera es para evitar que alguien que accede al laboratorio no pueda
tener una visin al material en los monitores de las estaciones de trabajo, y en segundo
lugar, que el analista no pueda ver las personas que entran al laboratorio. Mientras que el
posicionamiento de los monitores debe evitar vistas inadvertidas y tambin es importante

Darwin Vlez
Mario Pazmio
Jos Molina

1717761082
1802990422
1716454333

que, siempre que sea posible, el personal no est trabajando en entornos aislados. Uno de
los controles establecidos por la norma ISO/IEC 27001 en el control A.11.3.3 Poltica de
pantalla y escritorio limpio nos brinda un panorama para evitar el acceso a usuarios no
autorizados y en el cual nos podemos referir para contrarrestar este tipo de problemticas
(27001:2005, ISO/IEC, 2005).

EJEMPLO DE UN LABORATORIO INFORMTICO FORENSE

La Figura muestra un diseo de un laboratorio que comprende el espacio para todas
las reas, esto sera adecuado para un laboratorio de tamao razonable, con base en
el comercio forense digital.

Opcin de diseo de un laboratorio forense digital (Andy Jones & Craig Valli, 2009)

Las normas son esenciales en cualquier tipo de laboratorio, sobre todo cuando el
resultado del trabajo puede ser analizado en un tribunal o en el que la vida de una
persona puede verse afectada. Cumpliendo con las normas, ya sea dentro de una
organizacin o una comunidad ayudar a la comunicacin y la comprensin
dependiendo del tipo de organizacin a la cual pertenece, es muy posible lograrlo
con normas internacionales as como con normas locales o normas de la
organizacin. Si los procedimientos siguen la direccin de estas normas y se
abordan desde un principio, el personal tendr la confianza de trabajar con normas
reconocidas a nivel mundial y su trabajo podr ser presentado ante cualquier tribunal
o accin civil. Dos de los estndares ms conocidos que se deben considerar son la
norma ISO/IEC 9000 que es un conjunto de normas de gestin de calidad y la

Darwin Vlez
Mario Pazmio
Jos Molina

1717761082
1802990422
1716454333

ISO/IEC 27000 que es un conjunto completo de controles que comprende las

mejores prcticas en seguridad de la informacin.

EQUIPO EN LA ESCENA DEL CRIMEN

Se tendr que decidir qu tipo de equipos sern necesarios para la escena del crimen
en una investigacin forense digital. Esto incluir los tipos de estaciones de trabajo,
como porttiles, equipos de realizacin de imgenes, la cantidad y tipo de
equipamiento necesario para (almacenar) los sistemas incautados en la escena del
crimen. Para la construccin de los kits en una escena del crimen, se debe considerar
que se trabajar en escenas contaminadas y por tanto debe incluir los equipos de
proteccin, no slo para el examinador, sino tambin para asegurar que la integridad
de la escena fsica no se vea comprometida y contaminada.

Adems de las herramientas para la recoleccin de imgenes, tambin se debe

considerar este tipo de kit en la escena del crimen:

Guantes estriles
Overoles estriles
Linternas
Destornilladores
Bolsas
Etiquetas
Cinta adhesiva
Dispositivos de comunicaciones
Dispositivos para poder realizar pruebas de conexiones Bluethooth y Wifi
Cmaras Espejos (para buscar espacios donde no se puede ver fcilmente)
Rotuladores y marcadores permanentes
Cuadernos
Formularios
Contenedores y un carrito para transportar el material
Alargadores de alimentacin y adaptadores

Esta lista no es exhaustiva, sino que se ofrece una visin sobre el equipo que necesita
tener a la mano en una escena del crimen.
Tambin necesitar espacio de almacenamiento en el laboratorio para el equipo
incautado en la escena del crimen, adems del espacio de almacenamiento que
necesitar para el equipo incautado se deber recordar mantener el equipo durante

Darwin Vlez
Mario Pazmio
Jos Molina

1717761082
1802990422
1716454333

un perodo considerable de tiempo, mientras dure la investigacin. Vale la pena

considerar desde el principio que mientras procesa ms y ms casos, el volumen de
los equipos tendr que almacenar crecer rpidamente.

Ejemplo de especificaciones que debera tener una estacin de trabajo forense

Tarjeta Madre (Mainboard, Motherboard):

La Unidad Central de Procesamiento (CPU):

Subsistema de Disco Duro:

Memoria RAM:

Discos duros:

Case o Gabinete:

Este debe ser un elemento de la lista de

proveedores aprobados.
Debe tener un nmero adecuado de ranuras de
expansin de perifricos disponible.
Evite los casos de una sola ranura que tienen un
gran componente de a bordo para el dispositivo
perifrico comn.
La placa base debe apoyar las conexiones USB y
FireWire de alta velocidad.
Debe ser el ms rpido que se pueda comprar;
preferiblemente con mltiples procesadores y
de 64-bits.
La velocidad ms alta posible que permitir
mltiples de lectura / escrituras.
Debe hacerse pruebas de las tasas de
transferencia sostenidas y de ruptura.
IDE, SATA, SCSI.
La capacidad de manejar arreglos RAID y discos
grandes.
Siempre que sea posible, una capacidad de
intercambio en caliente mejorar el
desempeo.
La memoria debe ser certificada a la placa base.
La velocidad ms rpida que se puede comprar
para la placa base.
Instalar el mximo posible para el sistema
operativo.
Como la ms alta velocidad posible.
Debe hacerse la prueba de las tasas de
transferencia sostenidas y de ruptura.
En caso de tener una fuente de alimentacin de
gran alcance con capacidad excedida y mltiples
conectores.
Compartimientos de unidades mltiples.
Refrigeracin suficiente.

Darwin Vlez
Mario Pazmio
Jos Molina

1717761082
1802990422
1716454333

El nmero de estaciones de trabajo forense requerido depende tpicamente del

nmero de analistas en el laboratorio. Los requisitos de espacio son, bsicamente,
un mnimo de 3 a 5 m2 por puesto de trabajo. Cada estacin de trabajo o espacio
deben tener suficientes tomas de corriente para la conexin de los sistemas y
dispositivos perifricos. Todas las estaciones de trabajo forenses deben ser
validadas, verificadas y ejecutadas en un Entorno Operativo Estndar. Un entorno
operativo estndar incluye el sistema operativo subyacente, as como cualquiera de
las aplicaciones instaladas que se utiliza en ese hardware en particular.

El sistema operativo debe ajustarse a configuraciones estndar y debe ser la misma

versin utilizada en todos los equipos que emplean ese sistema operativo en
particular y de la base de hardware. Una vez establecida esta lnea de base, las
aplicaciones forenses bsicas (por ejemplo, EnCase, FTK, Autopsia, Sleuthkit,
Xways) deben cargarse y probarse para verificar su correcto funcionamiento. La
versin final resultante debera entonces ser fotografiada y su replicacin debe
ocurrir a travs de un proceso para imgenes para ser verificado. Todo este proceso,
ms los parches de actualizacin u otros cambios aplicados estarn plenamente
documentados en lnea con normas como la ISO 17025 en la que se establecen los
requisitos que deben cumplir los laboratorios de ensayo y calibracin. Se trata de
una norma de Calidad, la cual tiene su base en la serie de normas de Calidad ISO
9000.