Alberto David Airala * Osvaldo Horacio Rapetti **

Qu es la informtica forense Los desarrollos de la tecnologa de informacin han comenzado a plantear nuevos desafos y la mayora de la profesiones se han tenido que adaptar a la era digital, particularmente la fuerza policial debe actualizarse, dado que la explotacin criminal de las tecnologas digitales hacen necesarios nuevos tipos de investigacin. Cada vez ms la tecnologa informtica se ha convertido en un instrumento para cometer crmenes. Investigar estos crmenes sofisticados y recolectar la evidencia necesaria para la presentacin del caso a la Justicia se ha convertido en una significativa responsabilidad de los investigadores asignados. La aplicacin de la tecnologa informtica en la investigacin de un ilcito cometido usando una computadora ha creado una nueva especializacin, la informtica forense, que es el proceso dirigido a

http://www.lafederalonline.gov.ar/cienti.htm

identificar, preservar, analizar y presentar la evidencia digital de una manera legalmente aceptable. Abarca cuatro partes fundamentales. 1. La identificacin de evidencia digital Es el primer paso en el proceso forense. Sabiendo qu evidencia est presente, dnde y cmo se guarda, es vital determinar qu procesos sern empleados para efectuar su recuperacin. Aunque muchas personas piensan que solamente las computadoras personales son el centro de la informtica forense, en la realidad, el concepto puede extenderse a cualquier dispositivo electrnico que sea capaz de almacenar informacin, como los telfonos celulares, las agendas electrnicas y las tarjetas inteligentes. Adems, el examinador forense debe poder identificar el tipo de informacin almacenada en un dispositivo y el formato en que se guarda para usar la tecnologa apropiada para extraerlo. 2. Preservacin de la evidencia digital. Es un elemento crtico en el proceso forense. Dado que los datos sern analizados minuciosamente en un juzgado, es indispensable que cualquier examen de los datos electrnicamente guardados se lleve cabo de la manera menos intrusiva posible. Hay circunstancias donde los cambios de datos son inevitables, pero es importante que se haga en la menor medida posible. En situaciones donde el cambio es inevitable, es esencial que la naturaleza y razn del mismo pueda explicarse con detalle. La alteracin en los datos que tengan valor de evidencia debe ser registrada y justificada. Esto no slo se aplica a cambios hechos en los datos, sino que tambin incluye cambios fsicos que se hagan a un dispositivo electrnico en particular. 3. El anlisis de la evidencia digital. La extraccin, procesamiento e interpretacin de los datos digitales, se consideran generalmente como los elementos principales de la informtica forense.

http://www.lafederalonline.gov.ar/cienti.htm

Una vez obtenida la evidencia digital, normalmente requiere de un proceso, antes de que pueda ser comprendida por las personas. Por ejemplo, cuando se tiene la imagen de un disco, los datos contenidos dentro de la misma requieren un proceso (conversin) para que una persona los pueda interpretar. 4. La presentacin de evidencia digital Esto incluye la manera formal de la presentacin, la especializacin y calificaciones del perito y la credibilidad de los procesos que emple para producir la evidencia que se est presentando ante el juzgado, rbitro o mediador que interviene. El rasgo distintivo de la informtica forense, que la distingue de cualquier otra rea de la tecnologa de informacin, es el requisito de que el resultado final debe derivarse de un proceso que sea legalmente aceptable. Por consiguiente, la aplicacin de la tecnologa en la investigacin de los hechos que poseen estas caractersticas especficas debe llevarse a cabo con todos los requisitos que exige la ley. El no hacerlo puede producir que la evidencia digital sea considerada inadmisible, o al menos dudosa (contaminada). Esto puede ejemplificarse cuando el examinador forense utiliza un software para leer y reproducir los datos contenidos dentro de un documento electrnico. Por ejemplo, una hoja de clculo, que contiene los datos financieros. Si un tercer producto de software es usado para reproducir ntegramente la hoja de clculo y ese producto no interpreta cada dato con precisin y exactitud, el significado entero del documento puede cambiar. Esto puede, adems de generar dudas con relacin a los procesos empleados durante el examen forense, tambin poner en tela de juicio la habilidad y especializacin del examinador que produjo el documento presentado como evidencia. Actividades de la Informtica Forense La informtica forense no es una sola actividad, utiliza muchas disciplinas. Involucra la aplicacin de tecnologa de la informacin para la bsqueda de la evidencia digital y comprende, entre otras, las siguientes tres actividades:

http://www.lafederalonline.gov.ar/cienti.htm

Anlisis de soportes y dispositivos electrnicos El anlisis de soportes de almacenamiento, como los discos, almacenamientos removibles (por ejemplo disquetes, discos ZIP, CDROMs, DVD, etc.), requiere una comprensin completa de la estructura fsica y del funcionamiento de los medios de almacenamiento, as como la forma y la estructura lgica de cmo se almacenan los datos. Mucha de la complejidad de esta actividad se ha simplificado gracias a la aplicacin de herramientas de recuperacin de datos muy eficaces e inteligentes. Por consiguiente, mucho del conocimiento exigido para realizar la tarea est integrado en el software de recuperacin de datos que se use. Cuando mencionamos a los "dispositivos electrnicos" nos referimos a cualquier dispositivo capaz de guardar informacin que posea valor como evidencia, incluyendo telfonos celulares, agendas y organizadores electrnicos y distintos dispositivos de comunicaciones de red como los routers y hub's. El anlisis de tales dispositivos es algo ms complejo que la actividad de recuperar los datos de los soportes y el hardware requerido es generalmente ms especializado. La estandarizacin de los dispositivos de hardware ha hecho que la extraccin de datos de algunos tipos de dispositivos electrnicos sea ms fcil y a la vez ha permitido adquirir el conocimiento para realizar la recuperacin de los datos en dispositivos especficos. Dado el amplio alcance de la informtica forense, no es para sorprenderse que varias ciencias y disciplinas estn involucradas: ingeniera de software, criptografa, ingeniera electrnica, comunicaciones, derecho, son reas de especializacin que, en conjunto, hacen posible el anlisis de los dispositivos electrnicos y soportes de informacin. El anlisis de la comunicacin de datos Este acpite abarca dos actividades separadas: o Intrusin en una red de computadoras o mal uso de la misma. o Interceptacin de datos. La intrusin en una red de computadoras o mal uso de la misma es la actividad de la informtica forense principal cuando el anlisis se hace sobre estructuras de esta naturaleza. Consiste en las funciones siguientes:

http://www.lafederalonline.gov.ar/cienti.htm

- Deteccin de la intrusin; - detectar la evidencia, capturarla y preservarla; y - reconstruccin de la actividad especfica o del hecho en s. El descubrimiento de la intrusin generalmente involucra la aplicacin de software especializado y en algunos casos hardware, para supervisar la comunicacin de los datos y conexiones a fin de identificar y aislar un comportamiento potencialmente ilegal. Este comportamiento incluye el acceso no autorizado, modificacin del sistema en forma remota y el monitoreo no autorizado de paquetes de datos. La captura de la evidencia y su preservacin, generalmente tiene lugar despus del descubrimiento de una intrusin o un comportamiento anormal, para que la actividad anormal o sospechosa pueda conservarse para el posterior anlisis. La fase final, la reconstruccin de la intrusin o comportamiento anormal, permite un examen completo de todos los datos recogidos durante la captura de la evidencia. Para llevar a cabo con xito estas funciones, el investigador forense debe tener experiencia en comunicacin de datos y el apoyo de ingenieros de software. Investigacin y desarrollo La investigacin y desarrollo de nuevas tcnicas y herramientas son vitales para estar actualizado frente a cambios en la tecnologa. Deben dedicarse tiempo y recursos a la investigacin y desarrollo de nuevas tcnicas forenses, no slo desarrollar las soluciones a los problemas

http://www.lafederalonline.gov.ar/cienti.htm

existentes, sino tambin para reconocer problemas futuros y hallar las soluciones ms adecuadas. Desgraciadamente, los recursos y habilidades necesarios para mantener una investigacin eficaz y un programa de desarrollo estn ms all de la capacidad financiera de muchos grupos forenses. Y una restriccin adicional es que cualquier solucin derivada de la investigacin debe cumplir con todos los requisitos que marca la ley dentro del marco de trabajo de la informtica forense. Reglas de la informtica forense Dado que el ltimo producto del proceso forense est sujeto al anlisis judicial, es importante que las reglas que lo gobiernan se sigan. Aunque estas reglas son generales para aplicar a cualquier proceso en la informtica forense, su cumplimiento es fundamental para asegurar la admisibilidad de cualquier evidencia en un juzgado. Dado que la metodologa que se emplee ser determinada por el especialista forense, el proceso escogido debe aplicarse de forma que no se vulneren las reglas bsicas de la informtica forense. Esencialmente, las reglas de la informtica forense son: Regla 1. Minimizar el Manejo del Original La aplicacin del proceso de la informtica forense durante el examen de los datos originales se deber reducir al mnimo posible. Esto puede considerarse como la regla ms importante en la informtica forense. Cualquier anlisis debe dirigirse de manera tal que minimice la probabilidad de alteracin. Cuando sea posible, esto se logra copiando el original y examinando luego los datos duplicados. La duplicacin de evidencia tiene varias ventajas: primeramente, asegura que el original no ser alterado en caso de un uso incorrecto o inapropiado del proceso que se aplique. Segundo, le permite al examinador aplicar diferentes tcnicas en casos donde el mejor resultado no est claro. Si durante tales ensayos, los datos se alteran o se destruyen, simplemente se recurre a otra copia.

http://www.lafederalonline.gov.ar/cienti.htm

En tercer lugar, les permite a varios especialistas de informtica forense trabajar en los mismos datos, o en partes de los datos, al mismo tiempo. Esto es especialmente importante si las habilidades de los especialistas (por ejemplo, criptoanlisis) se requieren en distintas etapas de la tarea. Finalmente, asegura que el original se ha preservado en el mejor estado posible para la presentacin en un juzgado. Aunque hay ventajas al duplicar la evidencia, hay tambin desventajas. Primeramente, la duplicacin de evidencia debe realizarse de forma tal y con herramientas que aseguren que el duplicado es una copia perfecta del original. El fracaso para autenticar el duplicado apropiadamente producir un cuestionamiento sobre su integridad, lo que lleva inevitablemente a preguntar por la exactitud y fiabilidad del proceso del examen y los resultados logrados. Segundo, duplicando el original, nosotros estamos agregando un paso adicional en el proceso forense. Se requieren ms recursos y tiempo extra para facilitar el proceso de duplicacin. Ms an, la metodologa empleada debe extenderse para incluir el proceso de la duplicacin. Finalmente, la restauracin de datos duplicados para recrear el ambiente original puede ser difcil. En algunos casos, para ello sern necesarios dispositivos especficos de hardware o software, ms la complejidad y tiempo del proceso forense. Regla 2. Documentar los cambios Cuando ocurren cambios durante un examen forense, la naturaleza, magnitud y razn para ellos debe documentarse apropiadamente; ya que puede ser necesario durante cualquier examen alterar el original o el duplicado. Esto se aplica para ambos, tanto a nivel fsico como lgico. En tales casos, es esencial que el examinador entienda la naturaleza del cambio y que es el iniciador de ese cambio. Adicionalmente, el perito debe ser capaz de identificar correctamente la magnitud de cualquier cambio y dar una explicacin detallada de el porqu era necesario el mismo. Esencialmente, esto se aplica a cualquier material de evidencia que se obtiene de un proceso forense en el que ha ocurrido un cambio. Esto no quiere decir que el cambio no ocurrir, sino que en situaciones donde es inevitable, el examinador tiene la responsabilidad de identificar

http://www.lafederalonline.gov.ar/cienti.htm

correctamente y documentar el cambio, ya que este proceso depende directamente de las habilidades y conocimiento del investigador forense. Durante el examen forense, este punto puede parecer insignificante, pero se vuelve un problema crtico cuando el examinador est presentando sus resultados en un juicio. Aunque la evidencia puede ser legtima, las preguntas acerca de las habilidades del examinador y conocimiento pueden afectar su credibilidad, as como la confiabilidad del proceso empleado. Con una duda razonable, los resultados del proceso forense, en el peor de los casos, se considerarn inadmisibles. Aunque la necesidad de alterar los datos ocurre pocas veces, hay casos donde al examinador se le exige el cambio para facilitar el proceso del examen forense. Por ejemplo, cuando el acceso a los datos se encuentra restringido por alguna forma de control de acceso, el examinador forense se puede ver obligado a cambiar el bit de acceso o una cadena binaria de datos completa (clave de acceso); por ello, el perito debe dar testimonio de que tales cambios no alteraron significativamente los datos a los que se accedi por medio de esta metodologa y que luego son presentados como evidencia. Regla 3. Cumplir con las Reglas de Evidencia Para la aplicacin o el desarrollo de herramientas y tcnicas forenses, se deben tener en cuenta las reglas pertinentes de evidencia. Uno de los mandatos fundamentales de informtica forense es la necesidad de asegurar que el uso de herramientas y tcnicas no disminuye la admisibilidad del producto final. Por consiguiente, es importante asegurar que la manera como son aplicadas las herramientas y tcnicas cumpla con las reglas de evidencia. Otro factor importante, en cuanto a la obediencia de las reglas de evidencia, es la manera en que la misma se presenta. Esencialmente, debe presentarse la informacin de una manera que sea tan representativa del original como sea posible. Es decir, el mtodo de presentacin no debe alterar el significado de la evidencia. Regla 4. No exceda su conocimiento El especialista en informtica forense no debe emprender un examen ms all de su nivel de conocimiento y habilidad. Es esencial que el perito sea consciente del lmite de su conocimiento y habilidad. Llegado este punto, tiene varias opciones:

http://www.lafederalonline.gov.ar/cienti.htm

- Detener cualquier examen y buscar la ayuda de personal ms experimentado; - realizar la investigacin necesaria para mejorar su propio conocimiento, para que le permita continuar el examen; o - Continuar con el examen con la esperanza de que... La ltima opcin es, sin duda, la ms peligrosa. Es indispensable que el examinador forense pueda describir correctamente los procesos empleados durante un examen y explicar la metodologa seguida para ese proceso. El fracaso para explicar, competentemente y con precisin, la aplicacin de un proceso o procesos puede producir cuestionamientos sobre el conocimiento y credibilidad del examinador. Otro peligro en continuar un examen ms all de las habilidades de uno, es aumentar el riesgo de dao, cambios de los cuales el examinador no es consciente o no entiende y, por consiguiente, puede ignorar. Esto, probablemente, ser revelado cuando el examinador est dando la evidencia. Los anlisis complejos deben ser emprendidos por personal calificado y experimentado, que posea un apropiado nivel de entrenamiento. Adicionalmente, dado que la tecnologa est avanzando de modo continuo, es importante que el examinador reciba entrenamiento constante. Los problemas actuales y futuros para la informtica forense Los adelantos en la tecnologa dan lugar a nuevos y excitantes desafos, pero tambin enfrentan al especialista de informtica forense con nuevos problemas. Los adelantos en tecnologa tambin pueden llevar a las soluciones ms avanzadas pero, desafortunadamente, aunque la tecnologa puede cambiar y se puede adaptar, la ley es algo ms lenta en su adecuacin. Recordndole al especialista en informtica forense que sirve a dos amos, la tecnologa y la ley, y debe encontrar un equilibrio aceptable entre los dos. No todos los desafos enfrentados por la informtica forense son de naturaleza tcnica. Ellos tambin deben tratar con problemas de procedimiento, poltica, entrenamiento, cambios organizacionales, presupuesto, etc. Los sistemas operativos

http://www.lafederalonline.gov.ar/cienti.htm

Durante la ltima dcada, hemos sido testigos de los rpidos adelantos en el diseo y funcionalidad de los sistemas operativos (OS), del DOS, que tena su interfase basada en texto a la Interfase de Usuario Grfica (GUI) de sistemas operativos como Windows, Unix (Xwindows), OS/2, etc. Con el advenimiento de la Interfase de Usuario Grfica, los sistemas operativos se han puesto ms grandes, ms poderosos y ms amigables. Es el tamao y funcionalidad del sistema operativo de GUI que presenta a la informtica forense un nuevo desafo. Cuando el DOS era el sistema operativo predominante para la computadora personal, las cosas eran mucho ms fciles para el especialista de informtica forense. El DOS poda instalarse en un disquete y el sistema sospechoso cargarse desde el mismo. No se cargaban los manejadores de dispositivos especficos, pero dado la simplicidad del ambiente operativo, generalmente no importaba. Hoy, el tamao del GUI hace que el sistema operativo no pueda instalarse en su totalidad en un disquete. Aunque nosotros todava podemos cargar una interfase de texto, muchas de las caractersticas del sistema operativo, las que son realmente importantes, no pueden accederse para su uso. En el ambiente de laboratorio, el problema de tamao no es relevante, principalmente debido al desarrollo de tecnologas alternativas, pero en la prctica es un gran problema. As como los sistemas operativos han crecido en el tamao, tambin lo hizo su funcionalidad. De todos los rasgos incorporados en el GUI, el ms peligroso para la informtica forense es la caracterstica plug and play, ya que esta est configurada para una computadora especfica. El sistema operativo graba las caractersticas y la configuracin de todo el hardware instalado, cualquier elemento de hardware que se quite es detectado por el sistema operativo y producir los cambios en los archivos de configuracin... El impacto de esta inteligencia tiene serias implicaciones para el proceso del examen forense, quitando una unidad de disco duro e insertndolo en otra computadora, el sistema operativo inevitablemente producir los

http://www.lafederalonline.gov.ar/cienti.htm

10

cambios en los archivos de configuracin teniendo en cuenta esta caracterstica; la posibilidad de cambios se aumenta significativamente. El volumen de los datos Probablemente, el desafo ms grande que hoy enfrenta la informtica forense es el rpido aumento en la capacidad de los medios de almacenamiento. El advenimiento de nuevas tecnologas de almacenamiento, combinado con la demanda de aumento de espacio para almacenamiento por los usuarios y diseadores del software, ha producido un rpido aumento en el tamao de unidades de disco. As como la capacidad de unidades de disco ha aumentado, tambin lo hizo el volumen de datos que se guardan en estos medios de almacenamiento. El aumento del uso de la tecnologa multimedial, combinado con la expansin rpida de Internet, ha producido la demanda de mayor capacidad de almacenamiento. Esto ha llevado a su vez a un aumento en la cantidad de informacin que las personas almacenan (permanente o temporalmente) en sus computadoras. El hecho de copiar, almacenar y procesar grandes volmenes de datos presenta un desafo nico a la informtica forense. El copiado de datos no se refiere simplemente a copiar los archivos, sino que incluye la confeccin de una imagen binaria. Mientras que la cantidad de datos que resulta de la copia de archivos depende de la cantidad de archivos que se extraigan del disco rgido, en el caso de una imagen binaria depende de la capacidad fsica del disco que se est copiando. Aun con compresin, la cantidad de datos involucrada es muy grande. Por ejemplo, la imagen (sin compresin) de una unidad de disco duro de 10 GB producir un archivo de 10 GB de tamao. Copiar estas grandes cantidades de datos requiere el uso de herramientas muy especializadas. El problema se complica si los datos se deben extraer de varias computadoras, o grandes archivos de un servidor. El almacenamiento de estos grandes volmenes de datos tambin presenta al examinador forense nuevos problemas.

http://www.lafederalonline.gov.ar/cienti.htm

11

Muchos especialistas han optado por solucionar el inconveniente con el uso de una red. Esencialmente, los servidores de la red son dispositivos de almacenamiento muy grandes. Para sostener tales volmenes de datos para el anlisis de informtica forense, se requieren grandes capacidades de almacenamiento. Sin embargo, el almacenamiento del servidor slo proporciona una solucin a corto plazo, ya que los datos no pueden residir para siempre en el mismo, por lo tanto, tienen que ser encontradas las soluciones de almacenamiento de largo plazo. Actualmente, las soluciones ms populares son la cinta y CD-ROMs, pero los dos tienen sus limitaciones. Los CD-ROMs pueden almacenar slo 650 MB de datos; o sea, que para resguardar una imagen de un disco de 10 GB se necesitan unos 16 CD. La cinta proporciona el almacenamiento mayor, pero su confiabilidad con respecto al almacenamiento a largo plazo es cuestionable. Adems, la cinta es ms susceptible de corromperse que un CD-ROM. Una solucin que est surgiendo es el Disco Verstil Digital (DVD), pero en la actualidad, su aceptacin dentro de la informtica forense es limitada. El procesamiento oportuno y a tiempo de estos grandes volmenes es el ltimo desafo para el especialista de informtica forense. Identificar y recuperar la informacin en una forma que sea legalmente aceptable requiere de ms tiempo y esfuerzo que el normalmente necesario para procesos similares. Esto genera la necesidad de usar herramientas especializadas y hay pasos extras dentro del proceso del anlisis. Los dispositivos digitales Los recientes adelantos en microelectrnica han permitido que los microprocesadores sean ms poderosos y fsicamente ms pequeos. No slo los microprocesadores son ms rpidos y ms capaces, sino que los chips de almacenamiento han aumentado significativamente su

http://www.lafederalonline.gov.ar/cienti.htm

12

capacidad. Estas mejoras tienen un impacto directo en el proceso del anlisis forense; por ejemplo, los pequeos dispositivos electrnicos personales, como las agendas electrnicas, pueden guardar y procesar cantidades significativas de datos, que pueden tener valor como evidencia en una investigacin. Las ventajas de examinar tales dispositivos pueden ilustrarse mejor en investigaciones relacionadas con la droga: cada vez ms, los narcotraficantes sospechosos se estn acostumbrando a usar agendas electrnicas para guardar los nombres del contacto y nmeros telefnicos de clientes. Las agendas electrnicas permiten el almacenamiento de cantidades grandes de datos que pueden protegerse por medio de una contrasea. No es ninguna sorpresa que el acceso legal a la informacin contenida en tales dispositivos puede representar, para la ley, la cueva de Aladino en lo que a informacin incriminatoria se refiere. Estas tecnologas han dado lugar a una aplicacin de microelectrnica de gran impacto en nuestra sociedad, la tarjeta inteligente. La capacidad de las tarjetas inteligentes, no slo para guardar cantidades importantes de datos, sino tambin para procesar y asegurar datos en un solo chip, agrega complicaciones al proceso del examen forense. As como la tecnologa de la tarjeta inteligente es sofisticada, tambin lo son los procesos forenses para analizar y extraer los datos, lo que exige un nivel de investigacin y desarrollo de herramientas, ms all de los recursos de muchas de las unidades de informtica forense. Encripcin Las mejoras en las tecnologas de procesamiento de datos, combinadas con los avances en la criptologa, hacen que los esquemas de encripcin actuales sean relativamente confiables para el usuario cotidiano. Con las recientes experiencias se ha visto que el uso de encripcin se ha extendido de lo que ha sido tradicionalmente el dominio de los hackers a otras actividades delictivas. En particular, los pedfilos que frecuentan Internet y usan la encripcin para esconder imgenes de pornografa infantil. Puede citarse el caso de un pedfilo que tena en su poder una cantidad de imgenes de pornografa infantil, algunas estaban encriptadas con programas disponibles comercialmente para enmascarar su naturaleza durante la transmisin, va Internet, como as tambin se hallaban cambiados los nombres de archivo para simular que los datos no eran una imagen grfica. Los adelantos en las comunicaciones, tal como el acceso a Internet, han

http://www.lafederalonline.gov.ar/cienti.htm

13

hecho que los mtodos de encripcin complejos sean ahora accesibles, presentando al examinador de informtica forense una barrera importante. Sin tener en cuenta el proceso de encripcin usado, si el usuario tiene que abrir un texto cifrado usando una contrasea o llave, ya sea con un algoritmo de clave simtrico o asimtrico, el proceso de encripcin casi siempre puede ser atacado usando las tcnicas de "fuerza bruta". Aunque sta parece ser la respuesta para romper el cifrado, muchas veces es impracticable. El uso de "llaves fuertes" (de longitudes largas) puede producir que un ataque de fuerza bruta durara muchos aos o dcadas, lo cual no es una proposicin viable para la mayora de las investigaciones delictivas. Bibliografa - Digital Evidence and Computer Crime. CASEY, E. Academic Press, 2000. - Handbook of Computer Crime Investigation. CASEY, E. Academic Press, 2001. - Hack attacks revealed. A complete reference with custom security hacking toolkit. CHIRILLO, J. John Wiley & Sons, 2001. - Internet Besieged. Countering Cyberspace Scofflaws. DENNING, D. y DENNING, P. ACM Press, 1998. - Seguridad y Comercio en el Web. GARFINKEL, S. y SPAFFORD, G. McGraw Hill, 1999. - Leyes y negocios en internet. HANCE, O. McGraw Hill, 1996. - Symposium on Security and Privacy. IEEE. CD-ROM, 1980-1999. - High-Technology Crime. Investigator's Handbook. KOVACICH, G. Butterworth Heinemann, 2000. - Handbook of Information Security Management 1999. KRAUSE, M. y TRIPTON, H. CRC Press, 1999. - Incident Response. Investigation Computer Crime. MANDIA, K. y PROSISE, C. McGraw Hill, 2001. - Deteccin de intrusos. Gua avanzada. NORTCUTT y NOVAK. Prentice Hall, 2001. - Fighting Computer Crime. A new framework for protecting information. PARKER, D. John Wiley & Son, 1998. - Aspectos jurdicos del comercio electrnico en Internet. RIBAS, J. Aranzadi Editorial, 1999. - Criminalistics. An introduction to forensic science. SAFERSTEIN, R. Prentice Hall, 2001. - Investigation Computer Related Crime. STEPHENSON, P. CRC Press, 1999. - Lpez, Oscar; Amaya, Haver; LEN, Ricardo; Acosta, Beatriz, Informtica Forense, generalidades, aspectos tcnicos y herramientas, trabajo presentado en el Primer Congreso Iberoamericano de Seguridad Informtica, CIBSI '02, celebrado en Morelia, Mxico, febrero de 2002, representando a la Universidad de los Andes, Bogot, Colombia. - Cano, Jeimy J.; Informtica Forense liderando las investigaciones, http://www.virusprot.com/Col8.html - Cano, Jeimy J.; Credenciales para investigadores forenses en informtica. http://www.lafederalonline.gov.ar/cienti.htm 14

Certificaciones y entrenamiento, http://www.virusprot.com/Col8.html - Evidencia Digital, normas y principios, F.B.I., http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm * El Sr. Alberto David Airala es Subcomisario (R) de la Polica Federal Argentina, Licenciado en Seguridad, Perito en Papiloscopa, Tcnico en Sistemas de Procesamiento de Datos, Docente en la Academia Federal Superior "Gral. de Brigada Cesario A. Cardoso" en la Facultad Regional Buenos Aires de la Universidad Tecnolgica Nacional y de la Facultad de Ingeniera y Tecnologa Informtica de la Universidad de Belgrano. ** El Sr. Osvaldo Horacio Rapetti es Analista de Sistemas y Docente Titular de la Facultad de Ingeniera y Tecnologa Informtica de la Universidad de Belgrano, Docente Adjunto de la Facultad de Ingeniera de la Universidad de Buenos Aires.

http://www.lafederalonline.gov.ar/cienti.htm

15