UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNAD

ESCUELA DE CIENCIAS BSICAS, TECNOLOGAS E INGENIERAS

ECBTI

Fases de la informtica forense.

Delitos informticos tipificados en Colombia.

Elaborado por : Jorge Andrs Gonzlez Carmona

1105670990

Tutor del Curso : ESP. ING FREDDY ENRIQUE ACOSTA

01 de mayo de 2017

Jorgegonzalez6615@gmail.com
DESARROLLO DEL CASO

1. PROBLEMA

La Ferretera CASA MODERNA se ha caracterizado por ser una empresa innovadora en la venta

de artculos para la construccin, mampostera y muebles en general, la empresa fue pionera en la ciudad

de Pasto en prestar este tipo de servicios y se posicion desde 2001 como la de mayor prestigio en la

ciudad; la edificacin donde funciona consta de 4 pisos los cuales tienen adecuada una red LAN, cada piso

tiene su propia sub red con dominio 192.168.x.y donde (x) identifica al piso (y) e identifica el host en la

red , la red se extiende a toda la edificacin. La red presta servicios integrales internos con software propio

y centralizado en el host 8 (PC microtorre G1 280 HP) del piso 2 adems de proveer Internet a la

organizacin.

El gerente en sus proyecciones de negocios ha observado que a pesar de la competencia el negocio

es sostenible, pero, desde hace 8 meses a la fecha actual, el margen de ganancia ha venido disminuyendo

encontrando en su mayor competidor la ferretera CONSTRUYENDO HOGAR, su mayor rival en ventas.

El dueo no encuentra explicacin en las siguientes acciones:

Los productos que manejaba de manera exclusiva en su almacn ya los est adquiriendo la

competencia y los ofrece con semanas de anticipacin antes de que le lleguen a la ferretera

Algunos de sus proveedores dejaron de comercializar con Casa Moderna, insinuando que la

ferretera no tiene un inventario de productos nuevos

Los servicio s y productos que ofrece su rival tienen menor costo y adicionan sin valor algunos

servicios o promociones y las promociones de Construyendo hogar han mejorado en relacin a

Casa Moderna.
Y el detalle ms particular es que algunos ex empleados de Casa Moderna trabajan para la

competencia.
 El gerente de CASA MODERNA tiene a su cargo 30 empleados y ha contratado a 3 ms hace 8

meses, uno en el rea comercial (hace 8 meses), otro en R.R.H.H (recursos humanos, hace 6.5 meses) y

otro en el rea de mantenimiento (hace 4 meses) y cada uno de ellos maneja una host (PC micro torre G1

200 HP) conectado a la LAN y poseen internet en sus oficinas.

El gerente sospecha que unos de estos nuevos funcionarios estn filtrando informacin a la

competencia pero no tiene indicios de cmo encontrar al sospechoso y como reunir las pruebas necesarias

para inculpar a alguno de ellos.

2. LINEA DE TIEMPO Y DELIMITACION DE EVENTOS

https://www.preceden.com/timelines/308400-linea-de-tiempo-ferreter-a--casa-moderna-
 Nota: Es necesario aclarar que personal que trabajo en la Ferretera CASA MODERNA ahora

trabaja para la competencia por lo que se hace necesario realizar un anlisis minucioso para

determinar si la fuga de informacin es interna por parte de los ex empleados o una mezcla de

ambos

3. CONTEXTUALIZAR DE MANERA SISTEMTICA LAS FASES 1 Y 2 DE LA

INFORMTICA FORENSE Y UTILIZAR SOLO LAS ETAPAS DE CADA FASE QUE SE
PUEDEN APLICAR EN EL CASO PRESENTADO

Para abordar el problema de fuga de informacin por medios informticos que tiene la Ferretera

CASA MODERNA se realizarn una investigacin aplicada dividida en cuatro fases , en cada

una de estas se llevaran a cabo reas que permitirn reunir pruebas para que llevaran a descartar

o identificar al criminal tras estos hechos de robo de Trafico de informacin en la Ferretera

CASA MODERNA . ES necesario aclarar que como investigadores debemos ser imparciales en

la bsqueda de pruebas anlisis y recoleccin de las mismas y entender los alcances del hacking

tico y sus alcances en bsqueda de una solucin. A continuacin se describen las fase y cada

etapa que se realizar:

I. Fase de identificacin

Etapa 1 Levantamiento de informacin

Descripcin del Delito Informtico:

Fecha del incidente: 05 de Abril de 2017
Duracin del incidente: 08 meses el 05 de agosto y 05 de abril 2017
Detalles del incidente: Desde hace 8 meses han bajado paulatinamente las ventas de La ferrera

CASA MODERNA sus productos estrella os cuales solo se vendan por parte de esta ahora se

encuentran en la competencia los hechos coinciden con el cambio y contratacin de personal que

se ha realizado por parte de la empresa.

Informacin Sobre El Equipo Afectado

Marca y modelo: PC microtorre G1 280 HP
Funcin del equipo: Host de almacenamiento
Tipo de informacin procesada por el equipo: servicios integrales internos con software propio y

centralizado en el host 8
Etapa 2 Asegurar la Escena
Identificacin de Evidencias: asegurara clonar e instalar softwares especiales en PC micro torre

G1 280 HP y equipos de personal de empleados contratados en los ltimos 8 meses

II. Fase de Validacin y preservacin

Etapa 1 Copias de la evidencia:

Se realizara un procedimiento de recoleccin evidencia en los discos original , se generaran dos

copias de los mismos, etiquetados de la siguiente forma Copia 1 Caso, CASA MODERNA y

Copia 2 Caso, CASA MODERNA se realizaran procesos de comprobacin de la integridad de

cada copia con ayuda de las funciones hash tales como MD5 o SHA1. Se encriptara el disco con

ayudada de la aplicacin Truecrypt para evitar la intrusin remota.

Etapa 2 Cadena de custodia:

Se realizara levantamiento de acta registrando registro de los datos personales del operador de

cada equipo y de los procesos de manipulacin de las copias, desde el primer contacto con estos

hasta su posterior almacenamiento. Este proceso se lleva a cabo con la finalidad de individualizar

al responsable de la manipulacin de la evidencia.

III. Fase de Anlisis

Etapa 1 Preparacin para el anlisis:

El trabajo principal se realizara sobre la copia realizada a la evidencia, para al motivo se

montara la prueba en mquinas virtuales con el fin de obtener r una imagen del sistema de los

equipos comprometidos, para posteriormente plantear hiptesis de cmo y cundo y dnde se

realiz la sustraccin de informacin.

Etapa 2 Reconstruccin del ataque:

Tomando como punto de partida Si el intruso ha sido precavido es posible que algunas de

sus huellas o en su totalidad no estn, de igual manera se partir de la hiptesis que quien realizo

la fuga de informacin no es un experto en tcnicas anti forense para tal motivo se utilizara una

marca en el tiempo MACD (fecha y hora de modificacin, acceso, creacin y borrado),

recurriendo a los Registros de eventos el cual contiene guardadas las entradas por orden
cronolgico. Esta informacin es de suma importancia para determinar que archivos fueron

accedidos, que programas fueron instalados y que usuarios accedieron a estos.

Con la finalidad de estar plenamente seguros en nuestra investigacin consultaremos los registros

y caches de oros programas con la finalidad de obtener huellas dejas por el intruso para esto

consultaremos DNSDataView en los sistemas operativos Windows, Router IP Console, , caches

adobe flash y java

Etapa 3 Determinacin del ataque:

Durante el proceso continuo llegaremos a esta etapa, para determinar como el delincuente

informtico realizo la extraccin de la informacin, Durante esta etapa se lograra esclarecer como

el atacantes pudo acceder al sistema: si desde un equipo externo o desde un equipo interno a travs

de la red, adems se podr establecer si accedi directamente en el servidor .se podr establecer y

determinar los problemas de vulnerabilidad o el fallos de seguridad existentes, para

posteriormente tomar las medidas de seguridad pertinentes o que den a lugar para que estos

suceso no se vuelva a presentar.

Etapa 4 Identificacin del atacante:

En la bsqueda de la informacin buscaremos identificar si trabajadores o Ex

trabajadores con uso de usuario y contrasea han ingresado al sistema o si para esto crearon

una puerta trasera, identificando as la ip del equipo utilizado para la extraccin.

Etapa 5 Perfil del atacante:

Se realizara el respectivo perfil del atacante con la ayuda de la lnea de tiempo y las pruebas

encontradas en los discos,

IV. Fase de Documentacin y Presentacin de las pruebas

V. Clasificar de manera concreta el tipo de delito cometido segn la ley 1273 de 2009,

Delito Cometido
VIOLACIN DE DATOS PERSONALES CON AUMENTO DE LA PENA EN 3 TERCERAS

PARTES

La informacin es el activo ms valioso que existe en una empresa pues en esta estn los

lineamientos modelos y polticas que sigue la empresa , de esta depende el xito o fracaso que se

de en la misma es por esto que la ley 1273 de 2009 en el artculo 469F VIOLACIN DE DATOS

PERSONALES proeje a estas contra los que accediendo de forma violenta, por abuso de

confianza, a informacin no autorizada, con la finalidad de extraerla para su uso personal o el de

terceros, incurrir en este delito aumentando su pena en tres terceras parte por Aprovechando la

confianza depositada por el poseedor de la informacin o por quien tuviere un vnculo contractual

con este sita recuperada de :http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-

en-colombia Aumeto de la pena 3 terceras partes

Quien provechando la confianza depositada por el poseedor de la informacin o por quien

tuviere un vnculo contractual con este

Revelando o dando a conocer el contenido de la informacin en perjuicio de otro

Si quien incurre en estas conductas es el responsable de la administracin, manejo o

control de dicha informacin, adems se le impondr hasta por tres aos, la pena de

inhabilitacin para el ejercicio de profesin relacionada con sistemas de informacin

procesada con equipos computacionales.

Artculo 269F: VIOLACIN DE DATOS PERSONALES. El que, sin estar facultado para

ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,

intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos

personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrir en pena

de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios

mnimos legales mensuales vigentes. http://www.mintic.gov.co/

 Se lica este artculo Tomando en cuenta que la informacin fue sustrada sin autorizacin y

adems de esto utilizada para mejorar las ventas de la competencia, convirtiendo el echo en un

delito

CONCLUSIONES