DIRECCION DE POLICIA CIENTIFICA

DEPARTAMENTO ESTUDIOS
ESPECIALES
GENDARMERÍA NACIONAL ARGENTINA
DIRECCIÓN DE POLICÍA CIENTÍFICA

LEONARDO RAFAEL IGLESIAS

INGENIERO ELECTRÓNICO
JEFE DIVISIÓN INFORMÁTICA JUDICIAL
 ¿QUE SON LOS DELITOS
INFORMÁTICOS?
 Hecho o conducta ilícita que se comete mediante la utilización
de herramientas electrónicas o informáticas.

 Son todos aquellos delitos, tipificados en el código penal, que

hacen uso indebido de cualquier medio o sistema informático.

 Es toda aquella acción, típica, antijurídica y culpable, que se da

por vías informáticas o que tiene como objetivo destruir y
dañar ordenadores, medios electrónicos y redes de Internet.
TIPOS DE DELITOS INFORMÁTICOS
 Fraude
 Pornografía infantil
 Estafa
 Robo de propiedad intelectual
 Denegación de servicios
 Acceso no autorizado
 Extorsión
 Robo de servicios
 Sabotaje informático
 Abuso de privilegios
 Etc
 Informática Forense
Es una disciplina criminalística que tiene como objeto
la investigación, en sistemas informáticos, de hechos con
relevancia jurídica o para la simple investigación privada.

Para conseguir sus objetivos, la Informática Forense

desarrolla técnicas idóneas para ubicar, reproducir y analizar
evidencias digitales con fines legales.
 EVIDENCIA DIGITAL
Es cualquier registro generado por o guardado en
un medio de almacenamiento tecnológico que es
utilizado para demostrar la comisión de un delito, y sirve
como elemento material probatorio en un juicio.

Cuando se la compara con otras formas de

“evidencia documental” la evidencia computacional es
frágil. Esto hace que los datos digitales adquiridos, o sea
la copia obtenida, no debe alterar las originales del disco,
o sea deben ser exactamente iguales a los originales.

De aquí toma importancia el CHECKSUM o HASH.

Software Utilizado
HARDWARE UTILIZADO
PROCEDIMIENTO DE ANÁLISIS Y CUIDADO
DE LA PRUEBA
1º. Acceso informático forense
2º. Identificación de la evidencia
3º. Autenticación de la evidencia
4º. Preservación de la evidencia
CONSISTE EN:
Se extrae el disco a analizar del Equipo Informático cuestionado
Dispositivos especiales de conexionado para ingresar al HD.
Se usa la herramienta ENCASE para analizar el HD
Comienza con la realización de la Imagen o copia espejo forense.
 2° Identificación de la Evidencia

En que consiste:
Se identifica un conjunto de pruebas para ser tomadas como evidencia.
Recuperar los atributos del archivo
Relevar la mayor cantidad de evidencia digital (sin alterarla)
 3° Autenticación de la Evidencia

En que consiste:
Cálculo de firmas digitales.
Se obtiene un HASH (MD5 y SHA1).
Garantiza: integridad de evidencias digitales recolectadas y permite identificar
UNIVOCAMENTE a tales archivos.
 Criptografía

 Autenticación: implica hablar de corroboración de

la identidad. En particular del origen de un archivo.

 Confidencialidad: mantener en secreto una

información determinada.

 Integridad: la información no haya sido alterada

por personas no autorizadas u otro medio
desconocido.
 Hash
También denominado valor Hash o síntesis del
mensaje, es un tipo de transformación de datos.

Un Hash es la conversión de determinados datos

de cualquier tamaño, en un número de longitud fija no
reversible, mediante la aplicación a los datos de una
función matemática unidireccional denominada
algoritmo Hash.

Existen funciones comunes de Hash en un sentido. Las más

comunes son MD5 y SHA-1.
4º. Preservación de la evidencia

 ¿QUÉ SE PUEDE
OBTENER DEL ANÁLISIS
FORENSE?
PODEMOS OBTENER:
PUNTOS PERICIALES
•
•
•
•
•
•
•
•
•
•
•
•
LA ESCENA DEL CRIMEN DIGITAL
PRESERVACIÓN Y DOCUMENTACIÓN DE LA
ESCENA DEL CRIMEN DIGITAL
• EQUIPO A LLEVAR:
– PC O NOTEBOOK con suficientes puertos USB
y FW 800
– Bloqueador de Escritura (Write Blocker)
– Cables de conexión/Adaptadores/Interfaces/
Cajas para removibles/LAN Crossover…
– Software Forense (F-SW)
– Discos de almacenamiento de destino
• SANITIZADOS (WIPEADOS)
 PASOS A SEGUIR POR EL EXAMINADOR
– VERIFICAR SU PROPIA SEGURIDAD
• USAR GUANTES
– INVENTARIAR TODO LO ENCONTRADO
• LAPTOPS
• CELULARES
• DISKETTES
• MEMORIAS FLASH
• BLACKBERRYS
• DISCOS RÍGIDOS
• DISCOS ÓPTICOS
• PEN DRIVES
• PDAs
• CAMARAS DIGITALES
• REPRODUCTORES DE MP3
 PASOS A SEGUIR POR EL EXAMINADOR
• INVENTARIAR TODO LO ENCONTRADO
 PASOS A SEGUIR POR EL EXAMINADOR

• CONSULTAR CONEXIONES
– PROVEEDOR DE INTERNET
• FOTOGRAFIAR LOS EQUIPOS
• FOTOGRAFIAR LAS CONEXIONES DE
LOS EQUIPOS
 PASOS A SEGUIR POR EL EXAMINADOR
• FOTOGRAFIAR LOS EQUIPOS

DOCUMENTAR
 PASOS A SEGUIR POR EL EXAMINADOR
• FOTOGRAFIAR LAS CONEXIONES EXTERNAS,
ENTRE LOS EQUIPOS

DOCUMENTAR
 PASOS A SEGUIR POR EL EXAMINADOR
• FOTOGRAFIAR CONEXIONES INTERNAS

DOCUMENTAR
 PASOS A SEGUIR POR EL EXAMINADOR

• FOTOGRAFIAR LAS PANTALLAS

PASOS A SEGUIR POR EL EXAMINADOR

VOLÁTIL

MENOS VOLÁTIL
 INFORMACIÓN VOLÁTIL - OBTENER

• HORA Y FECHA DEL SISTEMA

• PROCESOS EN EJECUCIÓN
• CONEXIONES DE RED
• PUERTOS ABIERTOS
• APLICACIONES ESCUCHANDO EN SOCKETS
ABIERTOS
• USUARIOS CONECTADOS (LOGGED ON)
• INFORMACIÓN ALMACENADA EN MEMORIA
 PASOS A SEGUIR POR EL EXAMINADOR

• RECOLECTAR INFORMACIÓN VOLÁTIL

– SI ESTAN PRENDIDOS LOS EQUIPOS
(Intérprete de comandos cmd):
• date /t && time /t
• netstat –na
• ipconfig /all
• systeminfo
• doskey /history
• psloggedon
• pslist
 PASOS A SEGUIR POR EL EXAMINADOR
 RECOLECTAR INFORMACIÓN VOLÁTIL
 FECHA Y HORA CON:
 date /t && time /t

 Si están habilitadas las extensiones de comandos, el comando DATE

admite el parámetro /T, que indica al comando mostrar tan sólo la
fecha actual sin pedir una nueva fecha.
PASOS A SEGUIR POR EL EXAMINADOR
PASOS A SEGUIR POR EL EXAMINADOR
PASOS A SEGUIR POR EL EXAMINADOR





PASOS A SEGUIR POR EL EXAMINADOR





PASOS A SEGUIR POR EL EXAMINADOR
PASOS A SEGUIR POR EL EXAMINADOR
 PASOS A SEGUIR POR EL EXAMINADOR

– DESCONECTAR LA CONECTIVIDAD
• CABLES DE RED
• VERIFICAR CONEXIONES WI-FI
 PASOS A SEGUIR POR EL EXAMINADOR
– APAGAR LAS COMPUTADORAS
 PASOS A SEGUIR POR EL EXAMINADOR

• GUARDAR LA EVIDENCIA
– UTILIZAR GOMA ESPUMA
 CADENA DE CUSTODIA
• DOCUMENTACIÓN (EN PAPEL) DE:
– Confiscación o Secuestro
– Custodia
– Control
– Transferencia
– Análisis
– Remisión de evidencia digital
• MANIPULAR LA EVIDENCIA CUIDADOSAMENTE
PARA EVITAR ALEGATOS DE ADULTERACIÓN
Y/O FALSIFICACIÓN DE LA EVIDENCIA DIGITAL
 CADENA DE CUSTODIA
 DEBE DOCUMENTARSE EL PROCESO DE CICLO DE
VIDA DE LA EVIDENCIA DIGITAL:
◦ Métodos
◦ Horarios
◦ Fechas
◦ Identidad del Personal Involucrado
◦ Etc.
 DEBE DOCUMENTARSE:
◦ DÓNDE ESTUVO LA EVIDENCIA?
◦ QUIÉN TUVO ACCESO A LA MISMA?
◦ DESDE LA OBTENCIÓN INICIAL HASTA QUE LLEGUE A LOS
TRIBUNALES DE JUSTICIA
 CADENA DE CUSTODIA
• Fecha de contacto con la evidencia
• Nombre de la persona
• Registro del pasaje de una persona a otra
• Registro del pasaje de una ubicación física a otra
• Tareas realizadas durante la posesión
• Sellado de la evidencia al finalizar la posesión
• Registro de testigos
• Fotografías de la evidencia en las tareas realizadas
• Log de actividades durante la posesión
 CADENA DE CUSTODIA
• DOCUMENTAR:
– Qué es la evidencia?
– Cómo se la obtuvo?
– Cuándo fue obtenida?
– Quién la obtuvo?
– Dónde viajó?
– Dónde fue guardada?
 LA ESCENA DEL CRIMEN DIGITAL
• PASOS:
– VERIFICAR SU PROPIA SEGURIDAD
– INVENTARIAR TODO LO ENCONTRADO
– FOTOGRAFIAR LOS EQUIPOS
– FOTOGRAFIAR LAS CONEXIONES ENTRE EQUIPOS
– FOTOGRAFIAR LAS PANTALLAS
– RECOLECTAR INFORMACIÓN VOLÁTIL
• FECHA Y HORA
• CONEXIONES DE RED ACTIVAS
• INFORMACIÓN DEL SISTEMA
• HISTÓRICO DE COMANDOS
• USUARIOS LOGGEADOS AL SISTEMA
• PROCESOS ACTIVOS
– DESCONECTAR LA CONECTIVIDAD
– APAGAR LAS COMPUTADORAS
– GUARDAR LA EVIDENCIA
– PROTEGER LA CADENA DE CUSTODIA
– ACTA CONSTANCIA
 Hardware Utilizado

 UFED
 REPORTE UFED:
PDF
 Hardware Utilizado
PROCEDIMIENTO DE ANÁLISIS Y CUIDADOS
DE LA PRUEBA
METODOLOGÍA DE ACCESO A LA
INFORMACIÓN
PRESENTACIÓN DEL ELEMENTO DE PRUEBA