Volumen #01

Universidad De Lambayeque

El informe pericial recuperar informacin que ha sido eliminado

del disco duro

Auditora Informtica

Profesor:
Ing. Ernesto Karlo Celi Arvalo

Estudiante:
Wilson Delgado Ramos
Ronald Rodas Rufasto

Lambayeque Per
 Volumen #01

Preparado por la auditoria

31 de agosto del 2017

AUDITORIA N - IS-UDL -001

A: Docente De la Universidad.
De: Equipo Auditor
Asunto: RECUPERAR INFORMACIN DE DISCO:
Referencia:
Fecha de informe: 31 de agosto del 2017

INDICICIO:
1. MARCO DE REFERENCIA:
ISO 2700
ISO 27001: seguridad informtica
ISO 27002: riesgos operativos relacionados con ti.
Artculo 340. Condiciones de los peritos.

2. ASPECTOS DE SEGURIDAD INTERNO:

Coso
Cobit 5: Gobierno de TI.

3. PRUEBA:
Generar pruebas sustantivas a partir de evidencias de dispositivos de
almacenamiento de datos (discos duros).
Volumen #01

Para recuperar un archivo borrado de un disco duro el tiempo que pasa

desde que lo eliminamos es clave para tener xito en la recuperacin.
Si utilizaron mtodos ms agresivos como el formateo a bajo nivel que les
proporcionan herramientas como HDD LLF o Lowvel. En estos casos la
informacin ya no ser recuperable.

Ilustracin 1: formateo a bajo nivel

Cuando un archivo se borra de un disco duro, en realidad lo que ocurre es

que el sistema operativo recibe la informacin de que ese espacio que antes
ocupaba una imagen o documento est de nuevo libre para ser utilizado. Por
lo tanto la informacin se mantiene fsicamente y hay bastantes
probabilidades de que podamos recuperarla de forma sencilla.

Ilustracin 2: utilizacin de Herramienta.

Volumen #01

Deja de ser fiable para almacenar informacin que no queramos perder

lo ms probable es que podamos recuperar la informacin pero no
seguir usando esa unidad con seguridad.
pero debemos afinar mucho ms el diagnstico para conocer de qu manera
podemos actuar para tratar de recuperar la informacin.

Uno de los programas ms sencillos e intuitivos para recuperar archivos

borrados es Recuva, Filerecovery o Pandora Recovery. En todos ellos se
realiza una bsqueda de archivos borrados, de los que podemos conocer el
estado y si son recuperables o no.
Si queremos ir ms all podemos usar TestDisk, que adems de
ayudarnos a recuperar archivos, puede analizar unidades, reparar
particiones, realizar copias de seguridad o trabajar con errores de arranque
de nuestro PC. Si lo que buscamos es algo ms especfico para fotos de
tarjetas de memoria, Undelete Plus nos puede servir perfectamente.

Validez de la prueba: Garantizar la cadena de custodia sobre el objeto de la

pericia y el volcado de datos en una recuperacin de informacin se pierde
fiabilidad en el valor probatorio de la pericia si no hay garantas de ausencia
de manipulacin.
 Volumen #01

4. EVIDENCIA Y HALLAZGO:
Tomaremos un caso particular de recuperacin de Disco Duro; Estos
Pasos para utilizar la herramienta EaseUS Data Recovery Wizard Free
son:

Paso 1. Seleccione la ubicacin donde ha perdido datos y pulse en el botn

"Escanear".

5.

Paso 2. Primero EaseUS Data Recovery Wizard va a hacer un escaneo

rpido. Tras terminarlo, se iniciar un escaneo profundo de forma
automtica para encontrar ms archivos perdidos. Si ha encontrado los
archivos que desea en el resultado del escaneo rpido, puede detener el
escaneo profundo para ahorrar tiempo.
 Volumen #01

Paso 3. Elija los archivos que desea recuperar por los tipos de archivos arriba
desde el resultado de escaneo. Haga clic en "Recuperar" para recuperar los
seleccionados. Tenga en cuenta que debe elegir un lugar diferente al original
para evitar la sobre escritura de datos.

6. EaseUS Data Recovery Wizard Free hace que sea una realidad para usted a
recuperar gratis unidad de disco duro formateado de Windows 10. Pero slo se
puede restaurar archivos de 2 GB de forma gratuita. Si desea restaurar ms
datos, EaseUS Data Recovery Wizard Pro est disponible para ayudar. Este
software puede ayudarle a restaurar el mayor nmero de datos que desea sin
limitaciones y resolver problemas complejos

7. CONCLUSIONES:

El indicio si se puede auditar, pero no se garantiza el hallazgo de la informacin en buen

estado, depende de la informacin fue borrada pocas horas antes.

8. RECOMENDACIONES:
Recomiendo realizar una bitcora de trazabilidad, si lo quiere con restauracin.

---------------------------------------------- HASTA AQU -------------------------------------------

Volumen #01

HOJAS DE BORRADOR (NO SIRVE)-----------------------------------------------------

Alineamiento con Normas y Mejores Prcticas para Gestin de Riesgos y

Cumplimiento
Para las empresas que an no han comenzado a preparar estrategias de defensa,
un buen punto de partida es la adopcin de los procedimientos recomendados,
como el de Security Requirements for Data Management (Requerimientos de
seguridad para la gestin de datos), descrito en la seccin de Entrega y soporte
(DS, Deliver and Support) 11.6 de COBIT (Objetivos de control para la TI y
tecnologas afines), junto con los procedimientos indicados en la
correspondiente seccin de la gua de aseguramiento IT Assurance Guide: Using
COBIT.9 Estas publicaciones resumen el objetivo de control y los factores
determinantes de valor y de riesgo, e incluyen una lista de pruebas
recomendadas para el diseo del control.

ISACA tambin public una serie de documentos que establecen

correspondencias entre las normas sobre seguridad de la informacin y COBIT
4.1, y que resultan sumamente valiosos para profesionales y auditores. Adems,
se ha publicado recientemente en COBIT Focusun excelente artculo que
establece una correspondencia entre la Norma de Seguridad de Datos de la
Industria de Tarjetas de Pago (PCI DSS, Payment Card Industry Data Security
Standard) v2.0 y COBIT 4.1.10

La Asociacin Internacional de Gestin de Datos (Data Management

Association International, DAMA) ofrece un recurso adicional: The DAMA
Guide to the Data Management Body of Knowledge (DMBOK); se recomiendan
especialmente los captulos tres (Data Governance), siete (Data Security
Management) y doce (Data Quality Management).11

Desde la perspectiva del cumplimiento normativo, existe un marco legislativo

cada vez ms amplio que asigna a las organizaciones la responsabilidad de
garantizar la integridad de los datos y del aseguramiento de la informacin
(information assurance o IA).

En los EE. UU. se han aprobado las siguientes leyes, que imponen severas
sanciones en caso de incumplimiento: Data Quality Act (Ley de Calidad de los
Datos), Sarbanes-Oxley Act (Ley Sarbanes- Oxley), Gramm-Leach-Bliley Act
(Ley Gramm-Leach-Bliley), Health Insurance Portability and Accountability
Act (Ley de Transferibilidad y Responsabilidad de los Seguros de Salud) y Fair
 Volumen #01

Credit Reporting Act (Ley de Garanta de Equidad Crediticia). Tambin existe la

Federal Information Security Management Act (Ley Federal de Gestin de
Seguridad de la Informacin), que establece sanciones econmicas en caso de
incumplimiento de las disposiciones vigentes. (El anlisis de las leyes vigentes
fuera de los EE. UU. excede el alcance del presente artculo; sin embargo, cabe
destacar dos excelentes ejemplos de legislacin comparada, como la directiva de
la Unin Europea [UE] para la proteccin de los datos [Directive on Data
Protection] y la 8. directiva de la UE sobre derechos de sociedades [8th
Company Law Directive] en relacin con las auditoras legales12, 13).
(ISACA)

1. ORIGEN DE LA AUDITORIA:
Evidencia de la auditoria: NAGU 3.40 EL AUDITOR DEBE TENER EVIDENCIA
SUFICIENTE, COMPETENTE Y RELEVANTE MEDINTE LA APLICAICON
DE PRUEVAS DE CONTROLY PROCEDIMIENTOS SUSTANTIVOS QUE LE
PERMITAN FUNDAMENTAR RAZONABLEMENTE LOS JUICIOS Y
CONCLUCIONES QUE LE FORMULE AL ORGANISMO, PROGRAMA,
ACTIVIDAD O FUNCIN QUE SEA OBJETO DE AUDITORIA.

LA auditora de control interno, ejecutados a los diversos procesos legales:

Ley 26.612
de10 de mayo de 1996, que modifica el D. Leg n 681, mediante elcual se regula el
uso de tecnologas avanzadas en materia de archivo dedocumentos e informacin.
Adapta los microarchivos a la tecnologaelectrnica. (Promulgada el 17 de mayo de
1996 y Publicada en el DiarioOficial "El Peruano" el 21 de mayo de 1996).
NTP-392.030/2-1997
Reglamentacin exclusiva de medios de archivoelectrnico (microformas).Norma
Tcnica aprobadas por el INDECOPI referido al uso de la tecnologa.(INDECOPI.
Instituto Naional de Defensa de la Competencia y de la Proteccina la Propiedad
Intelectual)
Resolucin n 0121/98/INDECOPI-ODA
, de 9 de julio de 1998, que Apruebalos Lineamientos de la Oficina de Derechos de
Autor sobre el Uso Legal de losProgramas de Ordenador.
Resolucin Administrativo del Titular del Pliedo del Ministerio Pblico n 112-99-
SE-TP-CEMP
("El Peruano" 25 junio 1999).La Comisin Ejecutiva del Ministerio Pblico aprob
la conformacin de unComit de trabajo encargado de la elaboracin de las
propuestas para eltratamiento de imgenes y documentos de los archivos principales
delMinisterio Pblico utilizando tecnologas de microfilmacin, digitalizacin
yotras
 Volumen #01

Proyecto de reforma penal sobre criminalidad informtica en 1999.

1210.A3 Los auditores internos deben tener conocimiento de los riesgos y controles
clave en tecnologa informtica y de las tcnicas de auditora disponibles basadas en
tecnologa que le permitan desempear el trabajo asignado. Sin embargo, no se
espera que todos los auditores internos tengan la experiencia de aquel auditor
interno cuya responsabilidad fundamental es la auditora de tecnologa informtica.

Se origina por el hallazgo de indicios, la cual se realizar mediante la prueba sustantivas,

encontrando evidencias Fsicas como objeto de auditoria es un Disco Duro. La cual se
realizar mediante la inspeccin y la observacin para determinar si es posible recuperar la
informacin contenida en el Disco Duro.

2. Tipo de auditoria:
Auditoria forence, INTERNA, SIN trazabilidad. de Anlisis del disco duro

Alguien que se apodere del disco duro usado en un cajero (hurto, reutilizacin del disco sin una correcta
eliminacin de los datos) podra llegar a analizar el contenido del disco, especialmente si no se utilizan
mecanismos criptogrficos para protegerlo.
Se evala la informacin que se puede obtener a partir del disco duro de un cajero, no slo en ficheros
existentes, sino tambin en ficheros borrados.
Bsqueda de PAN, PINBLOCK, pista, etc. en el disco duro para verificar la escritura y/o borrado seguro de
datos en el HD segn requerimientos de PCI DSS.

3. Resultados.

4.

Auditoria
Alcance:
 Volumen #01

Ttulo:
Todo informe pericial debe de tener un ttulo que ha de expresar de forma clara e
inequvoca el objeto del mismo.

Documentos:
El informe constar, al menos, de los siguientes documentos bsicos: ndice General,
Memoria y Anexos. Dichos documentos bsicos podrn estar agrupados en distintos
volmenes o en uno slo, dependiendo del volumen de los mismos.

Redaccin:
En la portada de cada uno de los volmenes y en la primera pgina de cada uno de los
documentos bsicos debe figurar:

Nmero del volumen

Ttulo del informe
Tipo de documento unitario ( ndice general, Memoria, Anexos)
Organismo o cliente para el que se redacta el informe
Identificacin y los datos profesionales de cada uno de los autores del informe
pericial
En su caso, datos de la persona jurdica que ha recibido el encargo de su
elaboracin.

Todos los documentos han de tener una presentacin cuidadosa, limpia y ordenada.
Estarn estructurados en forma de captulos y apartados, que se numerarn de
acuerdo con lo indicado en la Norma UNE 50132.
El informe pericial informtico deber estar redactado de forma que pueda ser
interpretado correctamente por personas distintas de sus autores. Se requerir un
lenguaje claro, preciso, libre de vaguedades y trminos ambiguos, coherente con la
terminologa empleada en los diferentes captulos y apartados de los diferentes
documentos del informe y con una mnima calidad literaria.

El ndice general del informe pericial

Tiene como misin la localizacin fcil de los distintos contenidos del informe
pericial. El ndice general contendr todos y cada uno de los ndices de los diferentes
documentos bsicos del informe.

Memoria del informe pericial

 Volumen #01

Tiene cmo misin justificar las soluciones adoptadas y describir de forma univoca el
objeto del informe pericial. La Memoria deber ser claramente comprensible, no slo
por peritos informticos sino por terceros, en particular por el cliente, especialmente
en lo que se refiere a los objetivos del informe, las alternativas estudiadas, sus ventajas
e inconvenientes, y las razones que han conducido a las conclusiones expresadas.
El contenido de la memoria es el siguiente:

Hoja de identificacin:
Una primera hoja donde figurar:

El ttulo del informe y, en su caso, su cdigo identificador.

Razn social de la persona fsica o jurdica que ha encargado el informe pericial y
su C.I.F., nombre y apellidos de su representante legal y su DNL, direccin
profesional, telfono, fax, correo electrnico
Nombre y apellidos,, colegio profesional al que pertenece, nmero de Colegiado,
DNI., direccin profesional, telfono, fax, correo electrnico de cada uno de los
autores del informe pericial.
Fecha y firma de los anteriormente mencionados.

ndice de la memoria:
Dicho ndice har referencia a cada uno de los documentos, a sus captulos y
apartados, que componen la Memoria, con el fin de facilitar su utilizacin.

Objeto:
En este Captulo de la Memoria se indicar el objetivo del informe pericial
informtico y su justificacin.

Alcance:
En este captulo de la Memoria se indicar el mbito de aplicacin del informe
pericial.

Antecedentes:
En este captulo de la Memoria se enumerarn todos aquellos aspectos necesarios
para la comprensin de las alternativas estudiadas, y las conclusiones finales del
informe pericial.

Normas y referencias:
 Volumen #01

En este captulo de la Memoria se relacionarn slo los documentos y normas legales y

reglamentarias citadas en los distintos apartados de la misma.

Definiciones y abreviaturas:
En este captulo de la Memoria se relacionarn todas las definiciones, abreviaturas y
expresiones tcnicas que se han utilizado a lo largo del informe pericial, as como su
significado.

Requisitos:
En este capitulo de la Memoria se describirn las bases y datos de partida establecidos
por el cliente y la legislacin, reglamentacin y normativa aplicables.

Anlisis de soluciones:
En este captulo de la Memoria se indicarn las distintas alternativas estudiadas, qu
caminos se han seguido para llegar a ellas, ventajas e inconvenientes de cada una y
cul es la solucin finalmente elegida y su justificacin.

Resultados finales:
En este captulo de la Memoria se describir sucintamente la operativa
realizada segn la solucin elegida junto a las conclusiones del informe pericial
informtico.

Anexos del informe pericial informtico

El documento bsico Anexos se iniciar con un ndice que har referencia a cada uno
de los documentos, a sus captulos y apartados que los componen, con el fin de
facilitar su utilizacin.
Est formado por los documentos que desarrollan, justifican o aclaran apartados
especficos de la memoria, y sustentan todo lo que en ella se afirma.
En el caso del informe pericial informtico hay dos apartados fundamentales en todo
Anexo:

Intervencin de evidencias digitales:

En este apartado se debe documentar con todo lujo de detalle la intervencin de las
evidencias digitales, el proceso de su adquisicin y la fundamentacin de su cadena de
custodia.

Estudios periciales:
 Volumen #01

En este apartado se debe describir con todo lujo de detalle las tcnicas utilizadas y los
resultados obtenidos tras aplicarlas sobre las evidencias digitales intervenidas. Todas
las acciones realizadas deben de poder ser reproducidas por un tercero, obtenindose
idntico resultado.

El visado colegial del informe pericial

informtico
Si se cumplen estos preceptos, y el autor o autores de los trabajos son peritos
informticos colegiados, puede adicionalmente obtenerse el visado colegial del informe
pericial. El visado colegial, una vez otorgado, garantiza:

El reconocimiento de que el autor es un profesional colegiado y habilitado para el

ejercicio de la profesin, sujeto a deontologa profesional.
Certifica la autora y propiedad del informe.
Autentificacin y registro de la documentacin del informe visado.
Que el trabajo es formalmente completo, en el sentido que incluye el contenido
mnimo necesario para su finalidad.
Que el autor ha tenido en cuenta para su redaccin las disposiciones legales y
administrativas aplicables al trabajo a realizar.
La existencia de una corporacin de derecho pblico que vela por los derechos del
receptor de los trabajos.

En conclusin
A lo largo de mi carrera como perito informtico colegiado he visto todo tipo de
informes periciales, algunos incluso de tan slo dos folios, sin ndices y en un lenguaje
poco menos que pintoresco. El principal objeto del informe es que sea entendido por
profanos en la materia, por lo que la no observancia de estas normas puede conllevar
la total ineficacia del informe y el nulo valor del perito informtico actuante.
Seguir un mtodo estandarizado ayuda a la comprensin por terceros de los informes
de peritaje informtico, por su naturaleza, complejos y difciles de entender para
muchos abogados y jueces. Adems, su observancia demuestra, de entrada, la
seriedad y correccin del autor del mismo.

INFORME COMO PUEDEN RECUPERAR INFORMACIN QUE HA SIDO ELIMINADO DEL DISCO DURO CON O SIN FORMATEO.

DECIR SI SE PUEDE RECUPERAR

REALIZAR CON LA SECUENCIA DE PASOS

 Volumen #01

http://www.antud.org/El%20informe%20pericial.pdf

http://peritoinformaticocolegiado.es/metodologia/

http://190.104.117.163/2014/septiembre/prueba/contenido/ponencias/Anexos/Jurisprudencia/Prueba%20pericial%20informatica.pdf