Clase pericias Info UNLP(1)

Vista previa del material en texto

PERICIAS
PERICIAS INFORMÁTICAS
•1
Informática forense
 Ciencia de adquirir, analizar,
preservar y presentar datos que
han sido procesados electróni-
camente en un medio computa-
cional
•2
Objetivo
 Recobrar los registros y mensajes
de datos existentes dentro de un
equipo informático, de tal
manera que toda esa informa-
ción digital, pueda ser usada
como prueba ante un tribunal.
•3
Principios del peritaje
OBJETIVIDAD
El perito debe ser objetivo, 
debe observar los códigos de 
ética profesional.
•4
Principios del peritaje
AUTENTICIDAD Y CONSERVACIÓN
Durante la investigación, se
debe conservar la autentici-
dad e integridad de los medios
probatorios
•5
Principios del peritaje
LEGALIDAD
El perito debe ser preciso en
sus observaciones, opiniones y
resultados, conocer la legisla-
ción respecto de sus actividad
pericial y cumplir con los requi-
sitos establecidos por ella.
•6
Principios del peritaje
 IDONEIDAD
Los medios probatorios deben 
ser auténticos, ser relevantes y 
suficientes para el caso.
•7
Principios del peritaje
INALTERABILIDAD
En todos los casos, existirá una
cadena de custodia debida-
mente asegurada que de-
muestre que los medios no han
sido modificados durante la
pericia.
•8
Principios del peritaje
 DOCUMENTACIÓN
Deberá establecerse por
escrito los pasos dados en el
procedimiento pericial
•9
ÁMBITO
 Pericia sobre infracción a la ley de
propiedad intelectual del software.
 Pericia sobre control, actualización y
adquisición de licencias de software.
• Pericia sobre robo, hurto, borrado
intencional o accesos no autorizados
a la información de una determinada
empresa o institución, procesada y/o
generada por los sistemas de
informáticos.
•10
ÁMBITO
 Duplicación no autorizada de datos
procesados y/o generados por los
sistemas informáticos.
 Métodos y normas a seguir en
cuestión de seguridad y privacidad
de la información procesada y/o
generada por los sist. informáticos.
 Sobre la realización de auditorías de
áreas de sist. y centros de cómputos
así como de los sist. utilizados.
•11
ÁMBITO
 Sobre recupero de datos borrados y 
rastreo de información en los distintos 
medios informáticos 
 Sobre métodos y normas a seguir en 
cuestión de salvaguarda y control de 
los recursos físicos y lógicos de un 
sistema informático. 
 Pericia sobre desarrollo, manejo e 
implementación de proyectos 
informáticos. 
•12
ÁMBITO
 Sobre contratos en los que la
informática se encuentre involucrada
(contratación de servicios, adquisi-
ción de equipamiento y de sistemas,
tercerización de servicios).
 Sobre aspectos laborales vinculados
con la informática. (Uso de Internet
en el trabajo, uso indebido de las
facilidades de la organización
otorgadas a los empleados ).
•13
ÁMBITO
 Pericia sobre robos o determinación
de identidad a través de correos
electrónicos.
 Pericia sobre aspectos vinculados al
comercio electrónico y operaciones
realizadas a través de Internet.
 Pericia sobre dispositivos de telefonía
celular.
•14
Elementos
¿Qué se puede periciar?
•15
Procedimiento
 Policía
 Identificación del material.
 Precintado.
 Secuestro
•16
Procedimiento
 Se deben separar las personas 
que trabajen sobre los equipos 
informáticos lo antes posible y no 
permitirles volver a utilizarlos.
Dejar registrado el nombre del 
dueño o usuarios
•17
Procedimiento
 Obtener contraseñas de 
aplicaciones.
Se debe procurar fotografiar
todos los equipos informáticos
antes de moverlos o desco-
nectarlos.
•18
Procedimiento
Evitar tocar el material 
informático sin uso de guantes 
descartables
 Si los equipos están apagados
deben quedar apagados, si
están prendidos deben quedar
prendidos y consultar con un
especialista la modalidad de
apagado.
•19
Procedimiento
 Impedir que se realicen bús-
quedas sobre directorios o
intente ver la información
almacenada en los dispositivos
 Identificar correctamente todo
el material tecnológico a
secuestrar .
•20
Procedimiento
 Rotular el hardware que se va a
secuestrar con los siguientes
datos:
 Para computadoras,
notebooks, netbooks, celulares,
cámaras digitales, etc.: N° del
Expediente Judicial, Fecha y
Hora, Número de Serie,
Fabricante, Modelo.
•21
Procedimiento
 Para DVDs, CDs, Pendrives, etc:
almacenarlos en conjunto en un
sobre antiestático, indicando N°
del Expediente Judicial, Tipo
(DVDs, CDs, Pendrives, etc.) y
Cantidad.
•22
Procedimiento
 Cuando haya periféricos muy
específicos conectados a los
equipos informáticos y se deban
secuestrar, se deben identificar
con etiquetas con números los
cables para indicar dónde se
deben conectar y fotografiar los
equipos con sus respectivos
cables de conexión etiquetados.
•23
Procedimiento
 Usar bolsas especiales
antiestática para almacenar
discos rígidos y otros dispositivos
de almacenamiento informáticos
que sean electromagnéticos.
 Evitar el uso de bolsas plásticas,
ya que pueden causar una
descarga de electricidad está-
tica que puede destruir los datos.
•24
Procedimiento
 Precintar cada equipo
informático en todas sus entradas
eléctricas y todas las partes que
puedan ser abiertas o removidas.
•25
Procedimiento
 Traslado. Es responsabilidad del
personal policial que participa en
el procedimiento el transporte sin
daños ni alteraciones de todo el
material informático hasta que
sea peritado.
•26
Procedimiento
 Resguardar el material informá-
tico en un lugar limpio para evitar
la ruptura o falla de compo-
nentes.
No deberán exponerse los
elementos secuestrados a altas
temperaturas o campos electro-
magnéticos.
•27
Procedimiento
 Mantener la cadena de custodia
del material informático
transportado.
 Fuerza o cualidad probatoria de
la evidencia
•28
Cadena de custodia 
 Debe probarse que la evidencia
presentada es realmente la
misma evidencia recogida en la
escena del crimen, o entregada
por la víctima, o adquirida origi-
nalmente de alguna otra forma.
•29
Cadena de custodia 
 Para cumplir con este requisito
se debe mantener un registro
minucioso de la posesión y de la
cadena de custodia de la
evidencia.
•30
Inicio
 Al iniciar la pericia se cotejará la
existencia de los precintos sobre
los secuestros y la correcta
identificación de los elementos
enviados a peritaje.
•31
Procedimiento
¿Qué va a buscar?
•32
Procedimiento
Puntos de pericia
•33
Metodología
 1. Fase de Adquisición
 Comprende toda actividad
vinculada con la generación de
una réplica exacta de todo el
contenido digital alojado en el
dispositivo original
•34
Razones
 a. No contaminación, actuar
metódicamente y mantener la
cadena de evidencia.
 b. Eventual devolución al dueño.
 c. El dispositivo que almacena la
información puede no ser el más
indicado para llevar a cabo las
pruebas requeridas.
•35
 2. Fase de Preparación
 Involucra todos los procedi-
mientos necesarios para generar
el entorno de pruebas preciso
para llevar a cabo en primer
lugar la inspección, y eventual-
mente la recuperación de
evidencias digitales.
•36
Fase de Preparación
 a. Restauración de la imagen.
Si la misma se encontrara dividida,
encriptada o comprimida deberá
realizarse el proceso contrario, a
fin de lograr el original.
•37
Fase de Preparación
 b. Validar que la restauración ha
sido exitosa.
 c. Identificación de tipos de
sistemas de archivos y sistemas
operativos contenidos en los
medios de almacenamiento
originales.
•38
 3. Fase de Análisis
Se analiza el contenido adquirido 
en busca de vestigios de lo que 
se quiere hallar. 
 El objetivo final en un proceso 
judicial o pre-judicial es encontrar 
la denominada Evidencia Digital, 
es decir, aquello que relaciona el 
hecho ocurrido con las partes.
•39
Fase de Análisis
1. Extracción lógica 
2. Extracción física 
3. Análisisde relaciones
•40
Extracción lógica 
 Representa la recuperación de
información eliminada a partir
del sistema de archivos.
•41
Extracción física 
 Comprende la búsqueda de la
información directamente en el
espacio de datos omitiendo todo
tipo de estructura de sistema de
archivos.
 Se aplican diferentes técnicas
sobre el contenido puro del
bloque en el dispositivo de
almacenamiento.
•42
Análisis de relaciones
Trata de identificar relaciones
entre conjuntos de archivos, con
el fin de obtener una conclusión.
•43
Análisis de relaciones
Involucra puntualmente la
Identificación de relaciones entre
conjunto de archivos vinculados
a una actividad en particular (ej:
archivos relacionados a la
navegación por internet) y la
verificación de aplicaciones
instaladas, entre otros.
•44
Análisis de relaciones
 A continuación se presenta el
detallado del proceso, con las
técnicas existentes y herramien-
tas recomendadas.
 Se puede indicar como “Nicho
Carente” en aquellas áreas
donde aún no hay soluciones
disponibles.
•45
Dictamen
 Será presentado siguiendo los
estándares utilizados para la
presentación de reportes
informáticos forenses.
 Se intentará minimizar el
volumen de información en
soporte papel.
•46
Material
Una vez finalizada la pericia, se 
remitirá el dictamen y el material 
secuestrado al organismo de 
origen. 
Los elementos analizados 
deberán ser resguardados con 
los medios adecuados para 
preservar la integridad y la 
autenticidad de la evidencia
•47
Material
Los elementos probatorios que
contengan evidencia digital deberán
resguardarse hasta finalizar el proceso
judicial, siendo imprescindible su
conservación ya que permite a futuro
-y si fuera necesario- repetir o ampliar
la pericia.
•48
Jurisprudencia
Caso JAIME