Logo Studenta

2 Trabajo colaborativo 2_233012_7_ENTIDAD EDUCATIVA GOLDEN

SIN SIGLA

User badge image

gilbert Sanchez

¿Te gustó este material? ¡Compartir! 🧡
¡Este material tiene más páginas!

Vista previa del material en texto

1 
 
 
INFORMATICA FORENSE 
 
Trabajo colaborativo 2 
 
 
 
 
 
 
 
PRESENTADO POR: 
ING.GILBERT JAIR SANCHEZ AVILA 
 
 
 
GRUPO: 233012_7 
 
 
 
 
 
 
PRESENTADO A: 
 
ING-ESP. HAROLD EMILIO CABRERA MEZA 
Director del curso 
 
 
 
 
 
 
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD 
ESPECIALIZACION EN SEGURIDAD INFORMATICA 
ABRIL 2015 
2 
 
 
 
INTRODUCCIÓN 
 
 
En este segundo informe colaborativo nuestro equipo va analizar la información obtenida de 
un disco duro con su clave SHA1 para preservar la imagen e información contenida en manos 
equivocadas,usando el programa AUTOPSY procederemos a analizar este disco para darle 
solución al enunciado que está en planteamiento del problema, también no solo usaremos este 
programa sino la información dada en el material didáctico del curso de informática forense y 
la última pero no menos importante nuestro criterio como futuros investigadores y profesionales 
de la seguridad informática. 
 
Esperamos que lo mostrado en este informe sirva como alternativa de solución de algún caso 
similar en el futuro. 
3 
 
CONTENIDO 
 
PAGINA: 
 
 
 
 
❖ Portada ............................................................................................................................... 1 
❖ Introducción ................................................................................................................. 2 
❖ Contenido ..................................................................................................................... 3 
❖ Planteamiento del problema ............................................................................................. 4 
❖ Preguntas del caso ...................................................................................................... 5 
❖ Solución preguntas del caso ...................................................................................... 6 
❖ Conclusiones.............................................................................................................. 24 
❖ Referencias ................................................................................................................. 25 
4 
 
 
PLANTEAMIENTO DEL PROBLEMA 
 
 
La entidad educativa Golden reconocida empresa del sector educativo dirigida por la Dra. 
Raquel Sanders ha mostrado en los últimos meses gastos excesivos en material de papelería 
para su entidad, la Dra. Sanders giró los dineros del mes de febrero de 2015 de acuerdo al 
reporte realizado en una hoja de cálculo llamado 
20150116_103619_Listado_precios_proveedores_insumos_oficina.xlsx que le envía su 
amiga y funcionaria la Sra. Dora Michel para que realice las compras correspondientes de ese 
mes. También comenta la Dra. Sanders que inexplicablemente su listado de empresas de la 
zona franca se perdió de su computador de trabajo siendo la única copia que se tenía de dicha 
información y con la que contaba para realizar alianzas educativas en su región. La Dra. 
Sanders en su confusión no se explica cómo se perdió la información de las empresas ya que 
todo se maneja en una red computacional con privilegios. 
Algo que ha llamado la atención, es que, se ha observado a la Sra. Michel algunas veces en 
los café internet cercanos a la entidad educativa donde confluyen muchos estudiantes de 
varias universidades algo sospechoso porque la funcionaria tiene oficina propia en la entidad 
educativa Golden. 
 
En su afán de observar los pasos de su funcionaria la Dra. Sanders comenta el caso a sus 
ingenieros de la entidad los cual proceden acertadamente a comentar el caso a las autoridades 
quienes avalan la realización de una imagen binaria del disco duro de la funcionaria Dora 
Michel la cual se resguarda bajo un protocolo adecuado de cadena de custodia con registro 
SHA1: 551bb28deb960af92fd0bf08258b9d8d6fbde091 
Link descarga: 
https://www.dropbox.com/s/ige8biuse3wsyiu/551bb28deb960af92fd0bf08258b9d8d6fbde091.img?dl=0 
 
Que quedó en manos de los peritos informáticos para su análisis 
https://www.dropbox.com/s/ige8biuse3wsyiu/551bb28deb960af92fd0bf08258b9d8d6fbde091.img?dl=0
5 
 
 
 
PREGUNTAS DEL CASO 
 
El grupo de peritos informáticos (grupo colaborativo) los cuales tiene la imagen a examinar 
deben proceder con lo siguiente: 
 
Realizar un informe técnico únicamente con los siguientes criterios que permitan esclarecer 
el caso. 
• Identificar el sistema operativo y las acciones a realizadas para preservar la 
información de la imagen suministrada. 
• ¿Qué cuidados se aplicaron en la evidencia entregada? 
• ¿Cómo se obtuvo de la reconstrucción de la secuencia del ataque? 
• ¿Qué aspectos se tuvieron en cuenta para la preparación del análisis de la imagen 
suministrada? 
• ¿Qué se determinó como tipo de ataque realizado? 
• Informe de Análisis de la evidencia recolectada: buscar todos los archivos que se 
involucran con el caso que pudieron ser renombrados, creados o modificados, valor 
del fraude realizado en el mes de febrero, correos enviados y destinatarios 
• Conclusiones de los hallazgos, pruebas, determinación de responsabilidades o no 
de la inculpada 
 
Utilice Autopsy para verificar la evidencia. (Versión Windows o Linux a su gusto) 
6 
 
SOLUCION PREGUNTAS DEL CASO 
 
 
Haciendo un resumen de lo que va del caso hasta ahora hicimos la fase de identificación del 
objeto que se va a investigar en este caso es el disco duro de la funcionaria Dora Michel con 
base a la solicitud forense realizada a la Dra. Raquel Sanders donde ella nos da información 
sobre el caso y características del equipo con base a unos formularios que ella diligencia para 
tener mejor información del caso, también se hizo la fase de validación y preservación en cual 
hicimos una imagen exacta del contenido de la evidencia que es el disco duro de esta 
funcionaria y le asignamos un código SHA1: 551bb28deb960af92fd0bf08258b9d8d6fbde091 
ayudados con programas como OSFORENSICS esto con el fin de evitar que persona no 
autorizado de nuestra organización, manipule la evidencia a favor de la funcionaria investigada. 
Ahora vamos a proceder a la fase de análisis de la evidencia, esta fase es la que toma más 
tiempo pero es la que da los resultados en la investigación del caso dada, para esto vamos a 
usar el programa AUTOPSY de Windows, para proceder a analizar la imagen de disco que 
tenemos en custodia 
Vamos a mostrar unas imágenes de cómo el AUTOPSY procede a analizar la imagen binaria 
del disco duro a analizar: 
Como primera medida abrimos el programa AUTOPSY, le colocamos un nombre al caso y ese 
caso lo guardamos en una ubicación de nuestro equipo que usamos en nuestra organización 
para guardar las imágenes de disco a analizar 
• Luego procedemos a enumerar el caso y colocamos en examinador el nombre de un 
funcionario de nuestra organización que procederá con el análisis: 
 
• Luego seleccionamos que queremos analizar una imagen de disco que ya tenemos 
resguarda anteriormente en nuestro equipo base y su ubicación donde tenemos guarda 
la copia binaria: 
 
• Aquí podemos observar la imagen binaria del disco duro dela funcionaria investigada, 
la seleccionamos para que nuestro programa comience a hacer el respetivo análisis: 
 
Una vez el programa ha terminado de hacer el análisis podemos ver en la parte izquierda 
de la siguiente imagen, un árbol de directorios con características de la imagen binaria 
analizada, para más adelante nuestro equipo procederá a revisar esas características y 
ayudar a dar respuesta a las preguntas del caso de la funcionaria. 
7 
 
 
 
 
 
• Identificar el sistema operativo y las acciones a realizadas para preservar la 
información de la imagen suministrada. 
 
Como primera medida tenemos que aislar la zona donde está la evidencia es decir aislar la 
oficina de la funcionaria investigada ya que aparte del computador como tal podemos encontrar 
documentos, notas escritas a mano memorias USB, CD, DVD entre otros quenos ayudaran a 
investigar el caso y restringir el acceso a personas no autorizadas en especial la persona 
sospechosa, ya que al acceder a la oficina podría borrar información o adulterarla, incluso 
dañar el computador que se va investigar, revisamos las conexiones del equipo si están en 
buen estado o el equipo esta prendido en ese momento, hacer una documentación del estado 
inicial de la máquina, una forma de hacerlo sería tomarle fotos al monitor del computador 
investigado mostrando en la foto lo que se ve en pantalla y anotar los programas en ejecución, 
dado caso proceder a apagar la maquina retirando el cable de alimentación de la pared. 
 
Si miramos con calma lo hecho por la herramienta AUTOPSY es decir mirando los archivos 
cuidados y las características de este programa nos puede decir el sistema operativo, ver la 
siguiente imagen: 
8 
 
 
 
 
En la parte izquierda de la foto donde está el rectángulo de borde verde podemos ver que la 
imagen binaria tiene las carpetas distribuidas como cualquier Windows, si le damos clic a la 
carpeta desktop y miramos los archivos que están en la parte derecha aparece uno con el 
nombre desktop.ini al seleccionarlo miramos la información que está dentro del rectángulo con 
borde rojo y vemos que una de las rutas de acceso a ese archivo es system32, el cual es una 
carpeta características de los Windows . 
 
• ¿Qué cuidados se aplicaron en la evidencia entregada? 
 
Para hacer la recolección de la información se debe tener en cuenta la severidad y categoría 
del caso que se está analizando y así lograr determinar que evidencias se deben 
recolectar;estableciendo la importancia y contundencia de cada una de las evidencias que 
tomadas. 
 
Para realizar lo anteriormente dicho debemos mantener intactos todos y cada uno de los 
hallazgos encontrados en la escena del crimen. Dentro de los cuidados que se tuvieron en 
9 
 
cuenta en la recolección,fue la creación y verificación de copias de los medios informáticos que 
serán analizados durante la investigación; a continuación se creó la documentación donde 
quedó plasmada la información de los procedimientos y herramientas que se utilizaron en el 
análisis de la información recolectada.Además de esto se realizó un informe y presentación de 
los resultados de la investigación; loscuales serán entregados a la entidad educativa Golden. 
 
Para la realización de todo esto debimos tener en cuenta que la cadena de custodia de las 
evidencias encontradas debió ser las más rigurosa, para que no haya ninguna alteración de 
la misma y por último se realizó una auditoria a todas y cada uno de las actividades realizadas 
durante el desarrollo de la investigación, para garantizar los resultados obtenidos en todo el 
proceso de análisis forense. 
 
 
• ¿Cómo se obtuvo de la reconstrucción de la secuencia del ataque? 
 
Tendremos que crear una línea temporal de sucesos procurando recopilar información sobre 
los ficheros como: 
-Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado). 
- Ruta completa. 
- Tamaño en bytes y tipo de fichero. 
- Usuarios y grupos a quien pertenece. 
- Permisos de acceso. 
- Si fue borrado o no. 
 
Ordenando los archivos por sus fechas MACD, esta primera comprobación, aunque simple, es 
muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema 
operativo, por lo que un sistema que se instaló hace meses y que fue comprometido 
recientemente presentará en los ficheros nuevos, fechas MAC muy distintas a las de los 
ficheros más antiguos, para mirar la línea de tiempo en AUTOPSY se ve de esta manera: 
 
10 
 
Esta opción la buscamos en la barra superior del programa donde dice tools y luego le damos 
clic a la opción timeline. 
 
Con el programa AUTOPSY tenemos que buscar ficheros y directorios que han sido creados, 
modificados o borrados recientemente o instalaciones de programas posteriores a la del 
sistema operativo y que además se encuentren en rutas poco comunes, la mayoría de los 
atacantes y sus herramientas crearán directorios y descargarán sus “aplicaciones” en lugares 
donde no se suele mirar, como por ejemplo en los directorios temporales. 
 
Para guiarnos nos centraremos primero en buscar los archivos de sistema modificados tras 
la instalación del sistema operativo, averiguar después la ubicación de los archivos ocultos, 
de qué tipo son, identificar también los archivos borrados o LOGS que es un registro oficial 
de eventos durante un rango de tiempo en particular, lo usamos para revisar datos o 
información sobre quién, qué, cuándo, dónde y por qué un evento ocurre para un dispositivo 
o aplicación, tambiéncon ayuda del programa AUTOPSY al revisar la sección de los archivos 
borrados, intentar recuperar su contenido, anotar su fecha de borrado compararla con la 
actividad del resto de los archivos, ya con esto tendremos indicio de las acciones que hizo la 
funcionaria, por ejemplo veamos la siguiente foto: 
 
Si vemos la foto en el recuadro con borde verde podemos ver la sección donde están los 
archivos borrados, si los seleccionamos podemos ver en la parte derecha de la foto recuadro 
borde rojos los archivos eliminados y sus características a partir de aquí tenemos que revisar 
los archivos con más detalle, para poder probar si la funcionaria investigada elimino algún 
archivo del equipo y que tiene información relevante para investigar el caso. 
11 
 
 
• ¿Qué aspectos se tuvieron en cuenta para la preparación del análisis de la imagen 
suministrada? 
Al iniciar la investigación el equipo forense adecuo el sitio donde se va a desarrollar el proceso, 
iniciando en realizar una copia o copias exactas de la imagen recolectada como evidencia para 
evitar el daño de los discos originales; estas imágenes deben ser montadas en el equipo tal 
cual estaban montadas en el sistema que recibió el ataque. Para hacer un análisis efectivo 
debemos tener como mínimo dos estaciones de trabajo. 
 
En la primera estación debemos tener dos discos duros; en uno de los cuales se instalara un 
sistema operativo que tendrá la función de anfitrión y que servirá de plataforma para el estudio 
de todas y cada una de las evidencias. Y en el otro guardaremos las imágenes que tomamos 
como evidencia del equipo atacado, teniendo en cuenta que el sistema de archivos del disco 
duro debe ser idéntico al del disco duro del equipo atacado. 
 
En la segunda estación de trabajo instalaremos la imagen recolectada como evidencia; donde 
debemos tener en cuenta que el sistema operativo debe quedar configurado exactamente 
como estaba en la maquina atacada. 
 
Al tener esta infraestructura montada se comenzara a analizar las evidencias, de tal manera 
que logremos crear una línea de tiempo en donde se recopilara de manera cronológica, los 
eventos o acciones que se realizaron en el equipo atacado. La idea de realizar este proceso 
es la de buscar tanto ficheros como directorios que hayan sido creados, modificados o borrados 
durante el ataque; además de esto se hará un rastreo de los programas que se instalaron 
posteriormente a la instalación del sistema operativo. Teniendo en cuenta que debemos 
analizar todos los ficheros ya que los atacantes crearan rutas poco convencionales para 
instalar sus aplicaciones con el objetivo de no ser detectados. 
 
• ¿Qué se determinócomo tipo de ataque realizado? 
 
Artículo 269D: Daño Informático. El que, sin estar facultado para ello, destruya, dañe, borre, 
deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus 
partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y 
seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes. 
 
Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho 
propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, 
intercepte, divulgue,modifique o emplee códigos personales, datos personales contenidos en 
ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta 
y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales 
mensuales vigentes. 
 
 
• Informe de Análisis de la evidencia recolectada: buscar todos los archivos que se 
involucran con el caso que pudieron ser renombrados, creados o modificados, valor 
del fraude realizado en el mes de febrero, correos enviados y destinatarios 
12 
 
Si revisamos los archivos eliminados podemos ver que el archivo de la zona franca se 
encuentra eliminado ver imagen: 
 
 
 
Esto es lo que nos aparece en la sección metadata (si le damos clic a esa pestaña, ver imagen 
anterior), indicando características del archivo como su fecha de acceso (accesed), creación 
(created), modificado (changed): 
 
Name 
/img_551bb28deb960af92fd0bf08258b9d8d6fbde091.img/Downloads/lista- 
empresas-zona-franca.xls 
Type File System 
Size 264704 
File 
NameAllocation 
Unallocated 
MetadataAllocation Allocated 
Modified 2015-03-05 13:04:42 COT 
Accessed 2015-03-16 14:53:01 COT 
Created 2015-03-16 14:43:08 COT 
Changed 2015-03-16 14:46:15 COT 
13 
 
 
MD5 7cf4250840d9d2baa375ab2cafa8aa56 
Hash 
LookupResults 
UNKNOWN 
Internal ID 56 
 
Si miramos la sección donde dice office (21) (ver en la imagen recuadro verde) y le damos 
clic vemos que aparece el archivo: 
20150116_103619_Listado_precios_proveedores_insumos_oficina.xlsx podemos ver en esta 
imagen el recuadro con borde negro las propiedades que aparecen en metadata como 
cuando fue accedido, modificado, creado etc… 
 
 
Estos son los datos que aparecen en la sección demetadata con respecto a las fechas del 
archivo en cuanto a modificación, accesos y cambios. 
14 
 
 
 
 
 
Modified 2015-03-06 15:14:19 COT 
Accessed 2015-03-16 14:43:31 COT 
Created 2015-03-16 14:43:09 COT 
Changed 2015-03-09 15:53:20 COT 
 
 
Esto nos indica que ese archivo efectivamente ha sido modificado y para confirmar todo esto 
si observamos el archivo llamado lulu.gif que se encuentra en el ítem de resultados en 
específico en extracción de contenido, vemos que el archivo efectivamente ha sido modificado 
ya que contiene la información de la entidad educativa Golden. 
 
15 
 
 
Adicionalmente a lo anteriormente analizado, si revisamos la carpeta de descargas 
encontramos el archivo de lista de empresas zona franca. 
 
 
 
También vemos que la funcionaria al usar sus correos envió dentro de un archivo 
llamado reconocimiento_fundamentos_de_mercadeo-1.docx información sobre 
20150116_103619_Listado_precios_proveedores_insumos_oficina.xlsxver siguiente 
foto: 
 
 
 
 
 
16 
17 
 
 
Si miramos esta foto con más detalle vemos que en el recuadro de borde verde vamos 
a revisar los correos de la funcionaria y vemos cada uno de los documentos que 
aparecen ahí vemos que en el que esta demarcado con azul y al revisar lo que aparece 
en la sección text, si seguimos bajando en la sección text vemos que aparece el listado 
de proveedores de insumos ya mencionado en el caso. 
 
 
Asi se ve ese archivo si seguimos bajando en la sección text. 
Y esto es que lo nos aparece en la sección metadata en cuanto a sus fechas de 
modificación: 
 
 
 
MetadataAllocation Allocated 
Modified 2015-03-16 15:04:21 COT 
Accessed 2015-03-16 15:04:21 COT 
Created 2015-03-16 14:43:08 COT 
Changed 2015-03-16 15:04:22 COT 
MD5 6f6d4c332673cfe599988839231a3fdb 
Hash LookupResults UNKNOWN 
Internal ID 59 
 
Si observamos la siguiente imagen, podemos apreciar el correo electrónico 
(Cristcamiriya200168@hotmail.com) al cual fue enviada la información de las empresas 
dentro del archivo reconocimiento_fundamentos_de_mercadeo-1.docx. 
18 
 
 
 
 
Por la extensión del archivo reconocimiento_fundamentos_de_mercadeo-1.docx, 
podemos deducir que fue creado en un editor de texto Office 2010 o una versión 
posterior. 
Observando el archivo lista-empresas-zona-franca.xls, se puede decir que fue creado en 
Office 2007 o posterior. 
 
Los dos archivos llamadosreconocimiento_fundamentos_de_mercadeo-1.docx y lista- 
empresas-zona-franca.xls son archivos que normalmente se editan o se crean bajo 
sistema operativo Windows por su fácil manejo de ventanas. 
 
Si extraemos el archivo reconocimiento_fundamentos_de_mercadeo-1.docx y 
buscamos dentro de este el correo electrónico Cristcamiriya200168@hotmail.com, 
encontramos que este pertenece a una famiempresa llamada Rapitienda el mana de la 
27, que se dedica a comercializar víveres y abarrotes a la comunidad del sector. 
mailto:Cristcamiriya200168@hotmail.com
19 
 
 
 
 
Extrayendo el archivo lista-empresas-zona-franca.xls de la imagen, abriéndolo 
observamos que tiene cuatro hojas de cálculo llamadas LISTA TOTAL, 
PROCESADORAS Y DE SERVICIOS, COMERCIALIZACION COMPLEMENTARIA y 
COMERCIALIZADORAS Y SERVICIOS, haciendo un recorrido por estas hojas de cálculo 
se puede apreciar su contenido donde las hojas llamadas PROCESADORAS Y DE 
SERVICIOS, COMERCIALIZACION COMPLEMENTARIA y COMERCIALIZADORAS Y 
SERVICIOS, son clasificación de LISTA TOTAL. 
 
 
 
 
20 
 
 
 
 
 
Si extraemos de la imagen del disco el archivo encontrado llamado lulu.gif, el tratar de 
abrirlo con la extensión .gif nos trata de mostrar su contenido en ventana del navegador. 
Como no es posible ver su contenido se cambia al archivo lulu.gif por lulu.xls, teniendo 
una respuesta positiva pues al abrir el archivo se puede apreciar el mismo contenido 
del archivo llamado lista-empresas-zona-franca.xls, lo que indica que el archivo lulu fue 
renombrado con extensión de archivo imagen para pasar desapercibido. 
 
21 
 
 
 
 
22 
23 
 
Haciendo una búsqueda por textos en la Imagen RAW del HDD cargada podemos 
apreciar que al buscar insumos de oficina encontramos la siguiente similitud: 
 
 
Donde podemos apreciar los archivos utilizados para sacar la información confidencial 
de las compras de papelería que ha tenido la entidad. 
 
A continuación también observamos los movimientos que se realizaron con los 
archivos descargados y modificados para extraer la información de la compras. El 
archivo descargado inicialmente es un trabajo colaborativo de la universidad, pero 
después es eliminado y reemplazado por uno con él la información de las compras al 
final del mismo. 
 
24 
 
Conclusiones de los hallazgos, pruebas, determinación de responsabilidades o no de 
la inculpada. 
 
Dentro del análisis realizado a las evidencias recolectadas en el caso en mención, se 
lograron determinar las siguientes conclusiones: 
 
La señora Dora Michel es la principalmente responsable en el ataque ya que todas las 
pruebas indican que ella cometió el delito de robo de información, ya que se encontró 
información en su equipo de la entidad educativa Golden; la cual fue modificada, 
eliminada y enviada por correo electrónico a otra persona; por tal motivo esta señora 
deberá ser entrevistada para que declare su responsabilidad en este delito. 
 
 Con ayuda de software AUTOPSY fue posible el análisis detallado de la imagen binario 
del disco duro de la funcionaria Dora Michel donde fue posible verificar que el archivo 
llamado listado de empresas zona franca que se encuentra en una hoja de cálculo con 
formato Excel, fue descargado en el disco duro de la funcionaria en mención, quien ha 
cambiado su nombre y extensión del archivo para no llamar la atención. La funcionaria 
creyó que lo más conveniente sería borrar todos los archivos de sus carpetas donde 
tuvieron actividad y de esta manera no quedaría rastro, pero el análisis de la imagen del 
disco duro demuestra las pruebas para vincular a la funcionaria como responsable de 
extracción del archivo importante ya mencionado 
 
Otra conclusión es que la funcionaria oculto un archivo dentro de una imagen aplicando 
técnicas de estenografía,que es el arte de ocultar documentos dentro de un contenedorque por la general es una imagen (gif o bmp)por ser formatos sencillos oculto el listado 
de empresas de zona de franca dentro de una imagen .gif llamada lulu, para saberlo 
nuestro grupo usando el AUTOPSY reviso la sección extracted content ,luego en la 
sección extracted mismatch detected nos aparece el la imagen lulu.gif y al revisar la 
parte de abajo donde dice text podemos ver que aparece el listado de la zona franca. 
 
 Podemos decir que uso los correos electrónicos para enviar información de los listados 
de insumos de oficina (el archivo Excel perdido) en un documento en Word con otro 
nombre (reconocimiento_fundamentos_de_mercadeo-1.docx) y tiempo después si 
miramos los archivos eliminados aparece ese documento en Word eliminado para evitar 
dejar rastros del fraude cometido 
 
Podemos con toda información dada en el informe asegurar que la funcionaria cometido 
fraude y que tiene que responder ante las autoridades por los delitos informáticos 
cometido en cuanto a daño informático y violación de datos personales según las leyes 
colombianas. 
 
Agradecimientos al ING-ESP. HAROLD EMILIO CABRERA MEZA por la asesoría dada 
a lo largo de la creación de este informe, también por el material didáctico del curso que 
nos ha servido para desarrollar este informe 
25 
 
REFERENCIAS 
 
 
1. Fases de la informática Forense, (2014), Informática Forense 
Cabrera H. (2013). Recolección de evidencia disponible en: 
http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_recoleccion%20evidencia 
%20digital.pdf 
 
2. Hacking Evidencia digital, disponible en: 
http://books.google.com.co/books?id=3sX7u6chKPEC&pg=PA39&dq=evidencia+digita 
l&hl=es&sa=X&ei=HgOBUvq_BrLksASw1IGwBQ&redir_esc=y#v=onepage&q=evidenc 
ia%20digital&f=false 
 
3. Analisis Forense De Sistemas Gnu, Dittrich David, disponible en: 
http://librosgratis.net/book/analisis-forense-desistemas-gnu-pdf_47496.html 
 
4. Cabrera H (2013). Herramientas usadas eninformática forense, disponible 
en:http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_herramientas%20de% 
20software%20utilizadas.pdf 
 
5. Cabrera H (2013). Desarrollo de un caso, disponible en: 
http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_desarrollo%20de%20un 
%20caso.pdf 
 
6. Pruebas electrónicas ante los tribunales en lalucha contra la cibercriminalidad, Autor: 
Insa Mérida, Fredesvinda; Lázaro Herrero,Carmen; García González, Nuria, disponible 
en: http://biblioteca.universia.net/html_bura/ficha/params/title/pruebas-electronicas- 
tribunales-luchacibercriminalidad-proyectoeuropeo/id/44757714.html 
http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_recoleccion%20evidencia
http://books.google.com.co/books?id=3sX7u6chKPEC&pg=PA39&dq=evidencia%2Bdigita
http://librosgratis.net/book/analisis-forense-desistemas-gnu-pdf_47496.html
http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_herramientas%20de%25
http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_herramientas%20de%25
http://datateca.unad.edu.co/contenidos/233012/unidad_2/u2_desarrollo%20de%20un
http://biblioteca.universia.net/html_bura/ficha/params/title/pruebas-electronicas-

Más contenidos de este tema

Contenido elegido para ti

Portafolio 4 modificado
161 pag.

Portafolio 4 modificado

HERRAMIENTAS OPEN SOURCE PARA IMFORMATICA FORENSE
88 pag.

HERRAMIENTAS OPEN SOURCE PARA IMFORMATICA FORENSE

1 Trabajo_colaborativo_informatica forense_FINAL_233012_7_MI CASITA FELIZ
24 pag.

1 Trabajo_colaborativo_informatica forense_FINAL_233012_7_MI CASITA FELIZ

SIN SIGLA

04 ISC 157 ANEXO B
22 pag.

04 ISC 157 ANEXO B

SIN SIGLA

04 ISC 157 ANEXO A
42 pag.

04 ISC 157 ANEXO A

SIN SIGLA

Preguntas de este disciplina

Question Icon

¿Por qué razón consideran importante implementar el uso de las TIC en la práctica educativa? Facilita la comprensión de las temáticas 41% Favorece ...

Question Icon

¿Cuáles son las diferentes áreas de evolución en la práctica docente según el texto proporcionado? a) Elaboración de materiales curriculares, inno...

Question Icon

¿Qué aspectos de la sub-dimensión 'seguimiento académico' se investigaron y qué evidencias se encontraron? Se investigó el cumplimiento de activida...

Question Icon

¿Cuáles son las tres grandes líneas o ejes de actuación destacados para el desarrollo profesional del profesorado según Imbernón (1994)? - La refle...