Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD ESTATAL DEL SUR DE MANABÍ FACULTAD DE CIENCIAS TÉCNICAS CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN PROYECTO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN TECNOLOGÍAS DE LA INFORMACIÓN TEMA: “ESTRUCTURACIÓN DE UN LABORATORIO DE INFORMÁTICA FORENSE PARA LA CARRERA TECNOLOGÍAS DE LA INFORMACIÓN EN LA UNIVERSIDAD ESTATAL DEL SUR DE MANABÍ” AUTOR BRYAN PAUL GARCIA SALAZAR TUTOR ING. PASCUAL ANGEL PISCO GOMEZ, MG JIPIJAPA – MANABÍ – ECUADOR ii iii iv UNIVERSIDAD ESTATAL DEL SUR DE MANABÍ FACULTAD DE CIENCIAS TÉCNICAS CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN DECLARACIÓN DE AUTORÍA El proyecto de titulación: “ESTRUCTURACIÓN DE UN LABORATORIO DE INFORMÁTICA FORENSE PARA LA CARRERA TECNOLOGÍAS DE LA INFORMACIÓN EN LA UNIVERSIDAD ESTATAL DEL SUR DE MANABÍ”, elaborado por el egresado Bryan Paúl García Salazar, previo a la obtención del título de Ingeniero en Tecnologías de la Información, certifica que la misma fue ejecutada por el autor Bryan Paúl García Salazar, bajo la dirección del Ing. Pascual Ángel Pisco Gómez. Mg, cuyas ideas, criterios y propuestas expuestas en el presente trabajo de investigación son de exclusiva responsabilidad de la misma. Jipijapa, noviembre 2022 __________________________ Bryan Paúl García Salazar 080355819-6 AUTOR v UNIVERSIDAD ESTATAL DEL SUR DE MANABÍ FACULTAD DE CIENCIAS TÉCNICAS CARRERA DE TECNOLOGÍAS DE LA INFORMACIÓN RENUNCIA DE DERECHOS Quien suscribe, Bryan Paúl García Salazar, autor del proyecto de titulación: “ESTRUCTURACIÓN DE UN LABORATORIO DE INFORMÁTICA FORENSE PARA LA CARRERA TECNOLOGÍAS DE LA INFORMACIÓN EN LA UNIVERSIDAD ESTATAL DEL SUR DE MANABÍ” previo a la obtención del título de Ingeniero en Tecnologías de la Información, cede los derechos de autoría intelectual total y parcial del presente trabajo de titulación a la Universidad Estatal del Sur de Manabí. Jipijapa, noviembre 2022 __________________________ Bryan Paúl García Salazar 080355819-6 AUTOR vi DEDICATORIA Mi tesis la dedico con especial gratitud y cariño A DIOS que me puso en el camino que me encuentro hoy, por mantenerme con vida y que me permitió pasar por esta universidad y conocer a tanta gente maravillosa. A mis padres quienes con su gran apoyo me permitieron vivir ese sueño que es la vida universitaria y alcanzar una meta como es una ingeniería. A dos personas en especial que conocí en mi vida universitaria como son el profesor Marlon Gonzales y su señora esposa Katty Regalado quienes desde el comienzo de mi vida universitaria me extendieron la mano y me ayudaron siempre que pudieron. A compañeros y amigos con los que compartí este proceso y los cuales me ayudaron a superar las dificultades que había en el camino. A mi abuela que ya no está conmigo pero que siempre fue un pilar fundamental en mi vida y en lo que hoy soy, espero que de donde estes siempre me sigas cuidando Las palabras se quedan cortas para lo que significan en este proceso así que a todos ustedes les dedico esto. Bryan Paúl García Salazar vii AGRADECIMIENTO Doy gracias a Dios por guiarme en mi camino y permitirme lograr mi meta. Para mis padres, ellos son mi motor y mi mayor inspiración, me ayudan a seguir mi camino a través de su amor, paciencia y buenos valores. También quiero agradecer a mi querida Universidad Estatal del Sur de Manabí en especial a la carrera de Tecnología de Información y a todas las autoridades, agradecerles por permitirme terminar una etapa en mi vida, y agradecerle por su paciencia, orientación y alineación en el desarrollo de esta investigación. A mi tutor de tesis, agradecerle su arduo trabajo y dedicación, con su conocimiento, experiencia, paciencia y entusiasmo completó con éxito mis estudios. Igualmente, agradecería a cada uno de mis maestros a lo largo de toda mi carrera profesional ya que cada uno de ellos aportó con sus conocimientos. A mis amigos por darme fuerza, y motivación para no decaer a lo largo de mi carrera profesional. Bryan Paúl García Salazar viii ÍNDICE DE CONTENIDOS TEMA: ....................................................................................................................................... i DECLARACIÓN DE AUTORÍA .......................................................................................... iv RENUNCIA DE DERECHOS ................................................................................................ v DEDICATORIA ...................................................................................................................... vi AGRADECIMIENTO ........................................................................................................... vii ÍNDICE DE CONTENIDOS ............................................................................................... viii ÍNDICE DE ILUSTRACIONES .......................................................................................... xii ÍNDICE DE TABLAS.......................................................................................................... xiii ÍNDICE DE GRAFICOS ..................................................................................................... xiv RESUMEN.............................................................................................................................. xv ABSTRACT ........................................................................................................................... xvi Capítulo I .................................................................................................................................. 1 I. INTRODUCCIÓN ............................................................................................................ 1 II. TÍTULO DEL PROYECTO ............................................................................................ 2 III. PROBLEMA DE INVESTIGACIÓN ......................................................................... 3 3.1DEFINICIÓN DEL PROBLEMA ..................................................................................... 3 3.2. FORMULACIÓN DEL PROBLEMA ............................................................................ 3 IV. OBJETIVOS .................................................................................................................. 4 4.1. OBJETIVO GENERAL .................................................................................................. 4 4.2. OBJETIVOS ESPECÍFICOS .......................................................................................... 4 V. JUSTIFICACIÓN ............................................................................................................. 5 Capítulo II................................................................................................................................. 6 VI. MARCO TEÓRICO ..................................................................................................... 6 6.1. Antecedentes Investigativos ............................................................................................ 6 6.2. Bases Teóricas ................................................................................................................... 7 6.2.1. Informática Forense....................................................................................................... 7 6.2.1.1Análisis Forense ............................................................................................................ 8 6.2.1.2. Uso de la Informática Forense .............................................................................. 9 6.2.1.3. Tipos de Análisis Forense......................................................................................9 6.2.1.4. Estándares para Análisis Forenses a Equipos Tecnológicos ............................. 9 6.2.1.4.1. RFC 3227 .................................................................................................................. 9 6.2.1.4.2. Guía de la SWGDE ................................................................................................ 10 ix 6.2.1.4.3. ISO 27037 ................................................................................................................ 10 6.2.1.4.4. UNE 71505 y UNE 71506 ....................................................................................... 11 6.2.1.4.5. Modelo Extendido de Séamus Ó Ciardhuain ...................................................... 11 6.2.1.5. Informática Forense en el Ecuador .................................................................... 11 6.2.1.6. Consejo de la Judicatura ..................................................................................... 11 6.2.1.6.1. Resolución 040-2014 ............................................................................................ 11 6.2.1.6.2. Ley de Comercio Electrónico, Firmas y Mensajes de Datos............................ 12 6.2.1.7. Seguridad Informática ........................................................................................ 12 6.2.1.8. Objetivos de la Seguridad Informática .............................................................. 12 6.2.1.9. Principios de la Seguridad Informática ............................................................. 13 6.2.1.10. Seguridad de la Información.................................................................................. 14 6.2.1.11. Internet de las Cosas ............................................................................................... 14 6.2.1.12 Big data ..................................................................................................................... 15 6.2.1.12.1.¿Por qué el Big Data es tan importante? ............................................................ 16 6.2.1.12.2. Tremendo volumen de datos ............................................................................... 17 6.2.1.12.3. Mucha volatilidad ................................................................................................ 17 6.2.1.12.4. No hay estándares de calidad de datos unificados ............................................ 17 6.2.1.13. Informática Forense................................................................................................ 18 6.2.1.13.1. Fases de la informática forense ........................................................................... 19 6.2.1.13.1.1. Identificación del incidente .............................................................................. 20 6.2.1.13.1.2. Obtención de la evidencia ................................................................................. 20 6.2.1.13.1.3. Preservación de la evidencia ............................................................................ 22 6.2.1.13.1.3.1 Manipulación de la evidencia digital ............................................................. 22 6.2.1.13.1.4. Recuperación y análisis de la evidencia .......................................................... 23 6.2.1.13.1.5. Documentación y presentación de la evidencia .............................................. 23 6.2.1.15. Esteganografía y Estegoanálisis ............................................................................. 25 6.2.1.16. Características de las herramientas forenses ....................................................... 25 6.2.1.17. Herramientas y equipos de informática forense para ordenadores ................... 26 6.2.1.17.1. Funcionamiento deOSForensic ........................................................................... 27 6.2.1.18. ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES .................................... 28 6.2.1.18.1. Funcionamiento en móviles ................................................................................. 28 6.2.1.18.1.1.¿Qué es lo que se puede adquirir de un celular en caso de un análisis forense? ................................................................................................................................... 29 6.2.1.18.1.2. Herramientas usadas para el análisis en móviles ........................................... 30 6.2.1.19. Laboratorio de Informática Forense ..................................................................... 31 x 6.2.1.20. Diseño ....................................................................................................................... 32 6.3. Marco conceptual ............................................................................................................ 33 VII. HIPÓTESIS Y VARIABLES ..................................................................................... 36 7.1. Hipótesis ........................................................................................................................... 36 7.2. Variables .......................................................................................................................... 36 Capítulo III ............................................................................................................................. 37 VIII. METODOLOGIA DE LA INVESTIGACION ........................................................ 37 Investigación Cuantitativa: Se empleo para la recopilación de los datos estadísticos obtenidos de las encuestas ejecutadas de manera online. ........................................... 37 8.1. Métodos ............................................................................................................................ 37 8.2. Técnicas e instrumentos ................................................................................................. 37 TÉCNICAS ............................................................................................................................. 37 8.4. Recursos ........................................................................................................................... 38 8.4.1 Recursos Humanos........................................................................................................ 38 8.4.2 Recursos Tecnológicos .................................................................................................. 38 8.4.3 Materiales ...................................................................................................................... 38 8.4.3 Recursos Económicos.................................................................................................... 38 8.5. Población y muestra ........................................................................................................ 38 8.5.1 Población y muestra ...................................................................................................... 38 8.5.2 Muestra .......................................................................................................................... 39 IX. Presupuesto ...................................................................................................................... 40 X. Análisis y Tabulación de Resultados ............................................................................... 41 10.1 Resultados de Encuestas ................................................................................................ 41 XI. CRONOGRAMA DE ACTIVIDADES ......................................................................... 50 Capítulo IV ............................................................................................................................. 52 PROPUESTA ......................................................................................................................... 52 I.TITULO DE LA PROPUESTA .........................................................................................52 II.DESCRIPCIÒN DE LA PROPUESTA ........................................................................... 52 III.OBJETIVOS DE LA PROPUESTA ............................................................................... 53 IV.FACTIBILIDAD DE LA APLICACIÓN ....................................................................... 54 4.1. ANALISIS GENERAL ................................................................................................... 54 4.2. FACTIBILIDAD TECNICA.......................................................................................... 54 4.3. FACTIBILIDAD OPERATIVA .................................................................................... 54 4.4. FACTIBILIDAD ECONOMICA .................................................................................. 54 V. ANALISIS PREVIO DE LA PROPUESTA ................................................................... 56 xi 5.1. BENEFICIOS .................................................................................................................. 56 5.2. ESPACIOS A USAR EN UN LABORATORIO .......................................................... 56 5.3. ALTERNATIVAS EN CASO DE NO CONTAR CON UN ESPACIO FÍSICO PARA UN LABORATORIO FORENSE ............................................................................ 58 5.4. CONFIGURACION GENERAL DE UN LABORATORIO FORENSE .................. 58 5.5. NECESIDADES DE EQUIPO EN UN LABORATORIO FORENSE ...................... 59 Dependerá de la naturaleza de investigación forense realizado en el laboratorio ........... 59 5.6. REQUERIMIENTOS BASICOS PARA ESTACIONES EN UN LABORATORIO FORENSE ............................................................................................................................... 59 CONCLUSIONES Y RECOMENDACIONES ................................................................... 60 CONCLUSIONES.................................................................................................................. 60 RECOMENDACIONES........................................................................................................ 60 REFERENCIAS BIBLIOGRAFICAS ................................................................................. 61 Anexos ..................................................................................................................................... 63 Introducción ........................................................................................................................... 70 Selección del espacio físico, riesgos, ubicación. ................................................................... 70 Riesgos y factores a considerar ............................................................................................. 71 Condiciones de construcción. ................................................................................................ 71 Sistema eléctrico. .................................................................................................................... 72 Temperatura y humedad ....................................................................................................... 75 Cableado de red...................................................................................................................... 75 Para cableado y canaletas: .................................................................................................... 75 Para el centro de cableado ................................................................................................. 75 Para red de voz (Telefónica) ................................................................................................. 76 Para Racks .............................................................................................................................. 76 Para Patch panels. .................................................................................................................. 76 Para Patch Cord. .................................................................................................................... 77 Para Switch. ............................................................................................................................ 77 Para el cuarto de telecomunicaciones .................................................................................. 77 Medidas de seguridad ............................................................................................................ 77 Ergonomía y funcionalidad ................................................................................................... 78 Monitor ................................................................................................................................... 78 Teclado y ratón ....................................................................................................................... 79 Mobiliario ............................................................................................................................... 79 Estandarización en cuanto a hardware y software ............................................................. 79 xii Estandarización de Software ................................................................................................ 80 Estándar en sistema operativo:............................................................................................. 80 Estándar de software en análisis .......................................................................................... 81 Estandarización de Hardware .............................................................................................. 82 Estándar en equipos adicionales necesarios ........................................................................ 83 Estándares de operación........................................................................................................ 84 Para la utilización de los equipos .......................................................................................... 84 Instalación de Software ......................................................................................................... 84 Capacitación ........................................................................................................................... 84 Alimentos y Bebidas ............................................................................................................... 85 Fumar ...................................................................................................................................... 85 Uso de equipo.......................................................................................................................... 85 Daños a los equipos ................................................................................................................ 85 Antivirus ................................................................................................................................. 85 Movimiento de Equipo y Muebles ........................................................................................ 85 Limpieza.................................................................................................................................. 85 Escaleras y pasillos ................................................................................................................. 85 Estándares de mantenimiento ............................................................................................... 85 Mantenimiento preventivo: ................................................................................................... 86 Mantenimiento correctivo: .................................................................................................... 86 Distribución de equipos y aparatos ......................................................................................86 Distribución de aparatos ....................................................................................................... 86 ÍNDICE DE ILUSTRACIONES Figura 1 .-Introducción a la informática forense ................................................................ 8 Figura 2 Análisis informático .............................................................................................. 8 Figura 3 Estándar RFC3227 ............................................................................................ 10 Figura 4 Estandar ISO 27037 .......................................................................................... 10 Figura 5 Logo Consejo de la Judicatura Ecuador ............................................................ 11 Figura 6. Los elementos principales de la seguridad informatica ..................................... 14 Figura 7 IoT (Internet de las cosas ) ................................................................................. 15 Figura 8 Big data y sus componentes ............................................................................... 16 Figura 9 Fases de la informatica Forense ......................................................................... 20 Figura 10 Herramienta forense .......................................................................................... 21 Figura 11 Evidencia recolectada ...................................................................................... 22 Figura 12 Encriptacion de datos ...................................................................................... 25 Figura 13 Logo de BlackBag Technologies ....................................................................... 26 Figura 14 AccessData Logo .............................................................................................. 26 xiii Figura 15 Guidance Logo................................................................................................. 26 Figura 16 MagnetForensics Logo ..................................................................................... 27 Figura 17 OSForensic Logo ............................................................................................. 27 Figura 18 Funcionamiento de ApkInspector ................................................................... 30 Figura 19 Android Data Extractor Lite Logo .................................................................. 30 Figura 20 OxygenForensic Logo ...................................................................................... 31 Figura 21 Implementos Laboratorio Informatico Forense ............................................... 32 Figura 22 Laboratorio Movil ........................................................................................... 32 Figura 23 .-Proyección del edificio de la carrera .............................................................. 56 Figura 24 Proyecciones con medidas especificadas .......................................................... 57 Figura 25.-Oficio de aprobación de tema de tesis ............................................................. 66 Figura 26.-Reunión para revisión de avances con el tutor ................................................ 67 Figura 27.-Reunión para revisión de avances con el tutor ................................................ 67 Figura 28.-Reunión para revisión de avances con el tutor ................................................ 68 Figura 31 AUTORIZACIÓN DE REPOSITORIO ......................................................... 68 ÍNDICE DE TABLAS Tabla 1.Población de la carrera de Tecnologías de la Información -PII 2021 ..................... 39 Tabla 2-Presupuesto del proyecto ........................................................................................... 40 Tabla 3:Conocimiento sobre informática Forense ................................................................ 41 Tabla 4.Aceptacion por conocer la informatica forense........................................................ 42 Tabla 5.Aprobacion para ser incluida en la carrera por parte de los estudiantes ............. 43 Tabla 6 Conocimiento sobre metodo de proteccion de datos ................................................ 44 Tabla 7.Manipulacion de datos sin autorizacion . ................................................................. 45 Tabla 8.Peligro Informatico .................................................................................................... 46 Tabla 9.- Vision sobre aplicación de informatica forense en casos judiciales ...................... 47 Tabla 10 .-Influencia de la informatica forense aplicada a proteccion de datos ................. 48 Tabla 11.-Victima de delitos informaticos.............................................................................. 49 Tabla 12.-Cronograma de actividades (Parte 1) .................................................................... 50 Tabla 13 Cronograma de actividades (Parte 2) ..................................................................... 51 Tabla 14.-Presupuesto herramientas informáticas forenses ................................................. 55 xiv ÍNDICE DE GRAFICOS Gráfico 1.-Conocimiento sobre informática forense ............................................................. 41 Gráfico 2 .-Aceptacion por conocer la informatica forense .................................................. 42 Gráfico 3. Aprobacion para ser incluida en la carrera ......................................................... 43 Gráfico 4.- Conocimiento sobre metodo de proteccion de datos .......................................... 44 Gráfico 5.- Manipulacion de datos sin autorizacion . ............................................................ 45 Gráfico 6.- Peligro Informatico ............................................................................................... 46 Gráfico 7.- Vision sobre aplicación de informatica forense en casos judiciales ................... 47 Gráfico 8.- Influencia de la informatica forense aplicada a proteccion de datos ................ 48 Gráfico 9 .-Victima de delitos informaticos ........................................................................... 49 xv RESUMEN El presente trabajo de investigación se fundamenta en dar a conocer la importancia que tiene la informática forense en el futuro de los estudiantes, siendo una herramienta necesaria para abrir las puertas a nuevos conocimientos y nuevas posibilidades, permitiendo adaptarse a las nuevas exigencias laborales y llenar plazas de trabajo que son muy bien pagadas pero que sufren de escasez de personal. Teniendo, así como objetivo primordial Desarrollar una guía sobre construcción de un laboratorio informático forense para la Carrera Tecnologías de la Información en la Universidad Estatal del Sur de Manabí, dentro de la indagación se utilizaron métodos de investigación científica como análisis-síntesis ,histórico-lógico ,inductivo-deductivo ,estadístico-matemático, bibliográfico-documental ,además haciendo uso de la técnica de encuestas ,donde se recolectaron resultados de importancia y necesarios para tener una base sólida de la investigación. El impacto del trabajo de titulación es promover la continuidad de este proyecto. Se concluyo que es un aporte muy importante tanto para el futuro de los estudiantes, como para la evolución de la carrera hacia la excelencia académica. PALABRAS CLAVE: informática, forense, herramientas, hardware, software. xvi ABSTRACT The present research work is based on making known the importance of computer forensics in the future of students, being a necessary tool to open thedoors to new knowledge and new possibilities, allowing to adapt to new labor requirements and fill jobs that are very well paid but suffer from shortage of personnel. Thus, the main objective is to develop a guide on the construction of a forensic computer laboratory for the Information Technologies Career at the Universidad Estatal del Sur de Manabí, within the inquiry scientific research methods were used as analysis-synthesis, historical-logical, inductive- deductive, statistical-mathematical, bibliographical-documental, also making use of the survey technique, where important and necessary results were collected to have a solid foundation for the research. The impact of the degree work is to promote the continuity of this project. It was concluded that it is a very important contribution for the future of the students, as well as for the evolution of the career towards academic excellence. KEYWORD: computer, forensics, tools, hardware, software. 1 Capítulo I I. INTRODUCCIÓN El procesamiento de datos forenses adquiere una gran jerarquía en el terreno de la información electrónica, esto debido al incremento en la cantidad de información y / o el uso que se le da, auge de nuevos espacios donde se utiliza y de computadoras por empresas comerciales tradicionales. Por eso, cuando se comete un delito, la información se almacena en forma digital. Sin embargo, existe un gran problema, porque las computadoras registran la información de una manera tal que no se recopila o se usa como evidencia usando medios comunes, se deben usar mecanismos diferentes a los tradicionales. Es de que el estudio de la informática surge como una ciencia relativamente nueva. Haciendo hincapié en su carácter científico, tiene sus fundamentos en las leyes de la física, la electricidad y el magnetismo. Es debido a fenómenos electromagnéticos que la información se puede guardar, estudiar e incluido recobrar cuando se creía eliminada. La informática forense, aplicando procedimientos estrictos y rigurosos puede cooperar a desvanecer grandes crímenes apoyándose en el uso científico, aplicado a la recopilación, análisis y validación de todo tipo de pruebas digitales. Dentro del tema de tesis: “Diseño y Plan de Implementación de un Laboratorio de Ciencias Forenses Digitales de la Escuela Superior Politécnica del Litoral ESPOL, Facultad de Ingeniería en Electricidad y Computación es un claro ejemplo de que es verídico el uso de la informática forense y que se puede usar para grandes cosas como lo son la seguridad ciber informática y para hacer que la gente aprenda de protección de información digital. 2 II. TÍTULO DEL PROYECTO “ESTRUCTURACIÓN DE UN LABORATORIO DE INFORMÁTICA FORENSE PARA LA CARRERA TECNOLOGÍAS DE LA INFORMACIÓN EN LA UNIVERSIDAD ESTATAL DEL SUR DE MANABÍ” 3 III. PROBLEMA DE INVESTIGACIÓN 3.1DEFINICIÓN DEL PROBLEMA Luego de una revisión exhaustiva de la maya curricular de la Carrera de Tecnologías de la Información de la Universidad Estatal del sur de Manabí se puede denotar que el tema informático forense no se menciona una sola vez en ninguno de los niveles cursados por los estudiantes. Está materia es básica para aprender acerca de ciberseguridad porque existe poca seguridad de datos de los alumnos, debido a que gran parte de estos no sabe cómo proteger su información, son vulnerables a que cualquiera con acceso a sus dispositivos o a la misma red pueda sustraer esta información. 3.2. FORMULACIÓN DEL PROBLEMA ¿De qué manera la estructuración de un laboratorio de informática forense contribuirá en la Carrera Tecnologías de la Información en la Universidad Estatal del Sur de Manabí? 4 IV. OBJETIVOS 4.1. OBJETIVO GENERAL Desarrollar una guía sobre construcción de un laboratorio informático forense para la Carrera Tecnologías de la Información en la Universidad Estatal del Sur de Manabí. 4.2. OBJETIVOS ESPECÍFICOS Identificar los elementos a utilizarse para la estructura del laboratorio de informática forense. Determinar los espacios y conexiones que se utilizarían para el correcto funcionamiento del laboratorio. Realizar el diseño del laboratorio de informática forense, basado en los puntos antes investigados. 5 V. JUSTIFICACIÓN La construcción de una guía para un laboratorio de informática forense será de gran beneficio para toda la Carrera de Tecnologías de la Información, por el hecho de permitirles a todos llenar un vació de conocimientos acerca de una de las ramas con mayor crecimiento en la especialidad de informática , revisar los elementos que hay en un laboratorio y como sus funciones pueden ser de gran ayuda para la protección y el descubrimiento de grandes cantidades de datos ,como tratar la información obtenida y a protegerse de cualquier amenaza por perdida de información. Nos hace entender que la maya puede sufrir una modificación con el fin de incluir la informática forense que es una base fundamental y que actualmente no es tratada ni siquiera como un subtema de ninguna materia impartida en la Carrera de Tecnologías de la información de la Universidad Estatal del sur de Manabí. Las mejoras también se verán en los estudiantes de la carrera de Tecnologías de la Información, ya que estos manejan grandes cantidades de información, pero muchas veces no saben que pueden ser vulnerables por la falta de seguridad en sus datos, lo cual sería cubierto al contar con la informática forense que nos enseña a cuidar desde los dispositivos móviles como todo dispositivo electrónico que pueda guardar información. 6 Capítulo II VI. MARCO TEÓRICO 6.1. Antecedentes Investigativos La Carrera de Tecnologías de la Información de la Universidad Estatal del sur de Manabí no cuenta con conocimientos acerca de informática forense, diseño de un laboratorio, en la presente tesis se menciona diferentes proyectos cuya experiencia relacionada al problema permite tener una idea más precisa de este proyecto, se ha tomado en cuenta la siguiente información: El tema de tesis: “Diseño e Implementación de un Centro de Cómputo de Informática Forense en la Universidad Autónoma de Occidente de la Facultad de Ingeniería en el año 2014”. Trata del montaje de un Laboratorio de Informática Forense (LIF) en la Universidad Autónoma de Occidente (UAO), la cual tiene como objetivo crear un modelo de ejecución, es decir precisar todo lo necesario para su labor a nivel de software, hardware, manejo de riesgos, recurso humano y recurso económico para su labor, la segunda etapa consiste en la ejecución de este LIF, lo cual implica su impulso, edificación y maniobra. Permitirá realizar análisis de evidencia digital frente a delitos informáticos que pueden presentarse en el sector público o privado (Isabel & Navarrete, 2014). Este proyecto ayudara para la elaboración de la guía de construcción, ya que permite obtener datos como los estándares de seguridad a tener en cuenta. Dentro del tema de tesis: “Desarrollo e Implementación del Análisis Digital Forense Utilizando una Metodología Post – Mortem de la Universidad Francisco de Paula Santader Ocana de la Facultad de ingeniería de Sistemas en el año 2012” Nos muestra el índice elevado de delitos informáticos que hay, ya sea dentro de entidades gubernamentales, como personas naturales, todos son vulnerables de una u otra forma mientras estén conectados. Dentro del tema de tesis: “Diseño de un Laboratorio de Informática Forense Digital de la Universidad Don Bosco, EL Salvador en el año 2014”. Nos aporta diseños de laboratorios, modelos y podemos optimizarprocesos que dentro de esta se ven complicados de realizar. Dentro del tema de tesis: “Diseño y Plan de Implementación de un Laboratorio de Ciencias Forenses Digitales de la Escuela Superior Politécnica del Litoral ESPOL, Facultad de Ingeniería en Electricidad y Computación, año 2011” El presente proyecto aportara desde las partes técnicas como partes tecnológicas a nuestra investigación y su efectividad Dentro del tema de tesis: “EL Desarrollo de Estándares y Procedimientos para la creación de un Data Center en la UPSE de la Universidad Estatal Península de Santa Elena, Facultad de Sistemas y Telecomunicaciones en el año 2013”, La cual permitirá tener una base de datos concreta para consulta de delitos informáticos y que puedan ser llevados a la ley. 7 Nos contribuirá en la guía teórica de información a obtener y que delitos son más frecuentes actualmente y que procedimientos seguir para la elaboración de nuestra guía. Dentro del tema de titulación: Análisis y desarrollo de una plataforma informática que permita automatizar los procesos de gestión, nivel de operatividad y eficiencia de los casos de peritajes e informática forense en la jefatura subzonal de criminalística de Portoviejo. (CHUNGA MACAY, BYRON I. & LÓPEZ BAILÓN, CRISTHIAN M. (2018). El presente trabajo muestra la solución a una problemática globalizada; esta es el manejo ineficiente de la gestión documental del proceso administrativo que por lo general existe en todas partes pero que esta vez se la va a enfocar hacia una pequeña fracción de nuestro alrededor que es criminalística y laboratorio de ciencias forenses en el sector de Portoviejo. El articulo: Aplicación informática forense para el análisis de dispositivos tecnológicos (VILLACRESES PARRALES CARLOS, CHÓEZ CALLE JENNIFER, FIGUEROA CASTILLO VICTOR, BARRETO PIN JENNIFER. (2021) Este trabajo nos ayuda con herramientas de análisis móviles tanto Android como IOS, y como usar algunos softwares de análisis gratuitos y pagos. 6.2. Bases Teóricas 6.2.1. Informática Forense Podemos definir la Seguridad Informática como cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la información, vulneración y extracción de datos (Vieites, 2006, p. 4). Informática Forense “Es el proceso de identificar, preservar, analizar y presentar evidencia digital cumpliendo estándares para que puedan ser presentadas de manera legitima.” (Rodney McKemmish 1.999). Informática forense implica la obtención y análisis de información digital para su uso como prueba en causas civiles, penales o administrativas. (Bill Nelson, 2010) 8 Figura 1 .-Introducción a la informática forense Fuente: Datos obtenidos de la web 6.2.1.1Análisis Forense Los analistas forenses o Peritos Informáticos son profesionales que tienen los conocimientos legales y técnicos para realizar este tipo de investigación ya que se deben conocer el proceso para no romper la cadena de custodia del dispositivo tecnológico y poder realizar el análisis con las herramientas necesarias para poder acumular la mayor cantidad posible de información para poder responder preguntas, como: ¿qué?, ¿por qué?, ¿dónde?, ¿cuándo?, ¿quién? y ¿cómo? y poder obtener y presentar evidencia civil, penal o para casos administrativos en empresas privadas, al finalizar la investigación el analista forense debe documentar la el análisis para presentar como prueba al tribunal este informe documentado debe ser entendible por personas no técnicas pero con la suficiente información para tomar una decisión en un caso: En la actualidad esta ciencia adquiere mayor importancia porque existen más incidentes penados, relacionados con la tecnología o que utilizan la tecnología para llegar a realizar robos, secuestros, fuga de información, etc. Figura 2 Análisis informático Fuente: Datos obtenidos de la web 9 6.2.1.2. Uso de la Informática Forense La informática forense se aplica en muchas ramas tanto a nivel de justicia, como a nivel de seguridad de datos luego podemos encontrar en algunos casos en los que se la usan, los cuales pueden ser: Prosecución Criminal: Las pruebas encontradas pueden ser usadas para resolver un fin de casos como pueden ser, por violación, drogas o todo lo relacionado que se pueda anexar a estas pruebas Litigación Civil: Casos que tratan con estafas, difamación, persecuciones, separaciones, pueden ser auxiliados por la informática forense. Investigación de seguros: La evidencia hallada en computadores, puede auxiliar a las empresas de seguro a disminuir los costos de los reclamos por accidentes y compensaciones. Temas corporativos: Puede ser recolección de datos en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aun de espionaje industrial. 6.2.1.3.Tipos de Análisis Forense Se definen los siguientes tipos de análisis forense: a sistemas operativos de computadores y servidores; Linux, Unix, Windows, Solaris, etc., dispositivos tecnológicos móviles, S.O. de Smartphones, como; iPhone, Samsung, Nokia, Motorola, etc., notebooks, laptops, tablets, etc., equipos tecnológicos como: computadores, routers, etc. y a redes. 6.2.1.4.Estándares para Análisis Forenses a Equipos Tecnológicos Se han elaborado estándares, normas y guías de mejores prácticas para el análisis forense, de ellos se van a considerar las mejores prácticas para el modelo y la cadena de custodia de equipos tecnológicos en procesos judiciales del Ecuador. 6.2.1.4.1. RFC 3227 (Guidelines for Evidence Collection and Archiving), la RFC (Request For Comments) son el conjunto de documentos propuestos por expertos en una materia, la RFC 3227 es el documento que contiene las mejores prácticas con respecto a la recolección de evidencias y su almacenamiento, los puntos más relevantes de esta referencia son: normas durante la recolección de evidencia, procedimiento de recolección de evidencia, procedimiento de almacenamiento de evidencia y herramientas necesarias. (D. Brezinski, 2002) 10 Figura 3 Estándar RFC3227 Fuente: Datos obtenidos de la web 6.2.1.4.2. Guía de la SWGDE Scientific Working Group on Digital Evidence, reúne a organizaciones que participan activamente en el campo de pruebas de multimedia digital y para fomentar la comunicación y la cooperación, así como la calidad y la consistencia garantizar dentro de la comunidad forense. (swgde, s.f.) 6.2.1.4.3. ISO 27037 Es una norma de alcance global y proviene de la normativa de Seguridad Informática ISO 27000, esta norma proporciona puntos a tomar en cuenta en actividades específicas ante el manejo de evidencia digital, como: identificación, recolección, adquisición y preservación de evidencia digital, el objetivo de esta norma ISO es garantizar la fiabilidad y credibilidad de las pruebas digitales que pueden ser de valor probatorio ante casos judiciales o disputas legales. (iso, s.f.) Figura 4 Estandar ISO 27037 Fuente: Datos obtenidos de la web 11 6.2.1.4.4. UNE 71505 y UNE 71506 Estas normas son publicadas por la AENOR (Asociación Española de Normalización y Certificación), al igual que las normas mencionadas anteriormente, tienen como objetivo apoyar a la gestión de evidencias tecnológicas, electrónicas y digitales. (aenor, s.f.) 6.2.1.4.5. Modelo Extendido de Séamus Ó Ciardhuain Este modelo fue publicado por el IJCE (International Journal of Digital Evidence) en el año 2004. se registra a aquellas personas que han manipulado el equipo tecnológico o evidencia. (Séamus Ó Ciardhuáin, 2004) 6.2.1.5.Informática Forense en el Ecuador Es indispensable que los profesionales que se dediquen a la informática forense en el Ecuador tengan conocimiento de lasbuenas prácticas del área y leyes vigentes a las que se someten este tipo de práctica, debe conocer hasta dónde puede llegar su investigación, las repercusiones legales que puede tener sus actos para no realizar una mala práctica que le puede llevar a ser acusado ante una investigación penal. 6.2.1.6. Consejo de la Judicatura El artículo 178 de la Constitución de la República del Ecuador establece: “El Consejo de la Judicatura es el órgano regidor de las leyes judiciales del país. Figura 5 Logo Consejo de la Judicatura Ecuador Fuente: Consejo de la judicatura ,2022 6.2.1.6.1. Resolución 040-2014 Esta resolución es el Reglamento del Sistema Pericial Integral de la Función Judicial. Este reglamento se secciona en diferentes Capítulos, tomando en referencia todos los aspectos vitales para los Peritos, como: 1.Ámbito de Aplicación y Principios. 2. Calificación de Peritos 3. Designación de Peritos 12 4. Obligaciones de los Peritos 5. Informe Pericial 6. Honorarios de Peritos 7. Evaluación de los Peritos 8. Capacitación de los Peritos 9. Régimen Disciplinario de los Peritos 10. Disposiciones Generales 11. Disposiciones Transitorias 12. Disposición Derogatoria 13. Disposición Final (Resolución 040-2014) 6.2.1.6.2. Ley de Comercio Electrónico, Firmas y Mensajes de Datos Esta ley logra “que el Estado Ecuatoriano cuente con herramientas jurídicas que le faciliten el uso de los servicios electrónicos, agregado el comercio electrónico y acceder con mayor facilidad cada vez a la más compleja red de los negocios internacionales”, “Art. 1.- Objeto de la ley.- Esta ley normaliza los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas.”. (Congreso Nacional, 2002) 6.2.1.7. Seguridad Informática Es la rama que se ocupa de crear las normas, métodos, procedimientos y técnicas con el fin de lograr un sistema de información seguro y confiable. Por su parte, la norma ISO 7498 define la Seguridad Informática por “una cadena de mecanismos que disminuyen las debilidades tanto de los recursos como de los bienes en una organización”. Las entidades deben entender la Seguridad Informática como un suceso y no como un producto que se puede comprar o instalar. Se trata de un ciclo repetitivo, en el que se incluyen las actividades como la evaluación de los riesgos, prevención, detección y respuesta ante incidentes de seguridad. 6.2.1.8.Objetivos de la Seguridad Informática Disminuir y encontrar las posibles amenazas e inconvenientes de la seguridad. Certificar el uso adecuado de las aplicaciones y/o recursos de los sistemas. Disminuir las pérdidas y lograr el correcto rescate en caso de un ataque a la seguridad del sistema. 13 Verificar el cuadro legal y los requisitos impuestos por los clientes en sus contratos. 6.2.1.9.Principios de la Seguridad Informática Confidencialidad. – Datos a los que solo tienen autorización personas con un debido permiso especial otorgado Autenticación. – Certificar que los datos son verdaderos Integridad. - Validez y consistencia de datos, la cual no podrá ser modificada, plagiada o eliminada, no solo en su trayecto sino también en su origen. No Repudiación. – Comprobación de envió y recibido de mensajes, tanto de emisor como receptor, estos siendo identificados plenamente. Disponibilidad. – Los datos deben estar a la mano en cualquier momento. Autorización. – Permitir el acceso de los interesados a los diferentes servicios y dispositivos del sistema informático. Auditabilidad. – Administrar el uso de los recursos de los sistemas por parte de los usuarios autorizados. Riesgo. – Un porcentaje de que existan ataques esto sucede, cuándo existe una vulnerabilidad y una amenaza. Hay varios tipos de ataque que se materializan con una amenaza: Interrupción. - Ataque contra la disponibilidad, se congestiona el sistema y su función es bloquear o deshabilitar el sistema consiguiendo parar la operación. Interceptación. – Sucede cuando el atacante se infiltra en los sistemas con el fin de sacar información de provecho para ellos. Generación. – Vulnera la autenticidad del sistema, introduciendo mensajes que se vuelven confusión al mezclarse con los del sistema. Modificación. – Cuando tienen acceso al sistema cambian partes de esta, para dejar vulnerable a quienes ingresan al sistema, una de las modificaciones que suelen hacer es el cambio de contraseñas. Dichos ataques mencionados se clasifican en: Ataques Pasivos. – El atacante se dedica al espionaje y se basa en interceptar datos y analizar la red. Ataque Activos. – Creación de falsas fuentes de direccionamiento, pudiendo subdividirse en cuatro categorías: 14 Suplantación de Identidad. – El atacante obtiene la contraseña de alguna identidad y se hace pasar por esta. Repetición Indeterminada. – Envió de mensajes una y otra vez con el fin de crear caos y error humano. Modificación de Mensajes. - El atacante altera una parte del mensaje para poder causar un efecto no deseado en el sistema. Degradación del Servicio. – El atacante restringe el uso normal del sistema y de las comunicaciones. Figura 6. Los elementos principales de la seguridad informatica Fuente: Info Channel ,2019 6.2.1.10. Seguridad de la Información Según ISO 27001, se refiere al cuidado de su privacidad, seguridad y acceso, así como de los sistemas implicados en su tratamiento, dentro de una organización. 6.2.1.11. Internet de las Cosas El Internet de las Cosas o Internet of Things es la conexión digital de objetos cotidianos con Internet, con el fin de acceder al intercambio automático de datos con otros dispositivos o centros de control sin interacción humana. 15 Figura 7 IoT (Internet de las cosas ) FUENTE: Unir ,2019 6.2.1.12 Big data Es un término que define el gran volumen de datos, tanto ordenados como no ordenados, que inundan los negocios cada día. Pero no es la cantidad de información lo que es importante. Lo que importa con el Big Data es lo que las entidades hacen con los datos. Big Data se puede analizar para conseguir ideas que lleven a mejores decisiones y movimientos de negocios estratégicos. Cuando hablamos de Big Data hacemos referencia a grupos de datos o combinaciones de conjuntos de datos cuyo tamaño (volumen), complejidad (variabilidad) y velocidad de crecimiento (velocidad) obstaculizan su captura, manejo, procesamiento o análisis mediante tecnologías y herramientas convencionales, tales como bases de datos relacionales y estadísticas convencionales o paquetes de visualización, dentro del tiempo necesario para que sean útiles. Aunque el tamaño utilizado para definir si un conjunto de datos determinado se considera Big Data no está firmemente aclarado y sigue cambiando con el tiempo, la mayoría de los analistas y profesionales actualmente tratan con información que van desde 30-50 Terabytes a varios Petabytes. La naturaleza compleja del Big Data se debe a la naturaleza no estructurada de gran parte de los datos generados por las tecnologías actuales, como los web logs, la personificación por radiofrecuencia (RFID), los sensores agregados en dispositivos, la maquinaria, los vehículos, las búsquedas en Internet, las redes sociales como Facebook, computadoras portátiles, teléfonos inteligentes y otros teléfonos móviles, dispositivos GPS y registros de centros de llamadas. En la mayoría de los casos, con el fin de utilizar efectivamente el Big Data, debe mezclarse con datos estructurados (normalmente de una base de datos relacional) y un programa comercial más convencional, como una Planificación de los recursos de la empresa (ERP) o una Gestión delas relaciones con los clientes (CRM). 16 Figura 8 Big data y sus componentes Fuente: Fermin de la Sierra ,2021 6.2.1.12.1.¿Por qué el Big Data es tan importante? Lo que hace que Big Data sea de beneficio para muchas empresas es el hecho de que suministra respuestas a muchas incógnitas que las empresas ni siquiera sabían que tenían. En otras palabras, facilita un punto de referencia. Con una cantidad tan grande de datos, la información puede ser moldeados o probados de cualquier manera que la empresa considere correcta. Al hacerlo, las entidades son capaces de identificar los problemas de una forma más clara. La recolección de grandes cantidades de información y la búsqueda de modas dentro de los datos permiten que las empresas se muevan mucho más ágilmente, sin problemas y de manera eficiente. También les permite borrar las áreas problemáticas antes de que los problemas acaben con sus ganancias o su reputación. El análisis de Big Data auxilia a las entidades a aprovechar sus datos y usarlos para identificar nuevas oportunidades. Eso, a su vez, lleva a líneas de negocios más inteligentes, operaciones más eficientes, generación de mayores ganancias y clientes más felices. Las entidades con más logros con Big Data obtienen valor de las siguientes formas: Reducción de coste. Las grandes tecnologías de datos, como Hadoop y el análisis basado en la nube, agregan importantes ventajas en términos de costes cuando se trata de guardar grandes cantidades de información, además de reconocer maneras más productivas de hacer negocios. Más rápido, mejor toma de decisiones. Con la velocidad de Hadoop y la analítica en memoria, combinada con la capacidad de ver nuevas fuentes de datos, las empresas pueden analizar los datos inmediatamente y tomar decisiones basadas en lo que han aprendido. Nuevos productos y servicios. Con la capacidad de calcular las necesidades de los clientes y la comodidad de estos a través de análisis viene el poder de dar a los clientes lo que quieren. Con la analítica de Big Data, más empresas están elaborando nuevos productos para satisfacer las necesidades de los clientes. 17 Con tantos medios de donde obtener información, tipos de datos y estructuras complejas, la dificultad de integración de datos aumenta. Las fuentes de datos de big data son extensas: Datos de internet y móviles. Datos de Internet de las Cosas. Datos sectoriales recopilados por empresas especializadas. Datos experimentales. Y los tipos de información también lo son: Tipos de datos no estructurados: archivos, documentos, videos, audios, etc. Tipos de datos semiestructurados: programas, hojas de cálculo, informes. Tipos de datos estructurados Solo el 20% de datos son estructurados y eso puede inducir a muchos errores si no acometemos un proyecto de calidad de datos. 6.2.1.12.2. Tremendo volumen de datos Como ya hemos visto, el volumen de datos es extenso, y eso dificulta la aplicación de un proceso de calidad de datos dentro de un tiempo razonable. Es difícil recoger, limpiar, agregar y obtener datos de alta calidad de forma rápida. Se necesita mucho tiempo para convertir los tipos no estructurados en tipos estructurados y resolver esos datos. 6.2.1.12.3. Mucha volatilidad Los datos cambian velozmente y eso hace que tengan un vigor muy corto. Para arreglarlo requerimos un poder de procesamiento muy alto. Si no lo hacemos bien, el procesamiento y análisis basado en estos datos puede producir respuestas erróneas, que pueden llevar a cometer errores en la toma de decisiones. 6.2.1.12.4. No hay estándares de calidad de datos unificados En 1987 la Organización Internacional de Normalización (ISO) publicó las normas ISO 9000 para certificar la calidad de productos y servicios. Sin embargo, el estudio de los estándares de calidad de los datos no comenzó hasta los años noventa, y no fue hasta 2011 cuando ISO publicó las normas de calidad de datos ISO 8000. 18 Estas normas necesitan evolucionar y adaptarse. Además, la investigación sobre la calidad de datos de big data ha comenzado hace poco y no hay muchos resultados. La calidad de datos de big data es clave, no solo para poder sacar ventajas competitivas sino también para anular que cometamos graves errores estratégicos y operacionales guiándonos en datos erróneos con resultados que pueden llegar a ser muy graves. 6.2.1.13. Informática Forense Según el FBI, la Informática forense es la ciencia de conseguir, guardar y mostrar datos que han sido examinados electrónicamente y archivados en un sistema informático. Podemos definir: Grupo de métodos analíticos y científicos donde las áreas de la informática nos permiten describir, guardar, inspeccionar y exponer información que sean autorizados dentro de un asunto legal. Disciplina criminalística que tiene como fin la investigación en sistemas informáticos de hechos con importancia jurídica o para la simple indagación privada. Es la aptitud de investigación y análisis para acumular y almacenar las pruebas de un dispositivo informático. La Informática Forense puede ayudar a comunicar correctamente al interesado sobre las evidencias reales existentes o hipótesis, certificando la efectividad de las políticas de seguridad y la protección tanto de los datos como de las tecnologías que agilitan la gestión de esa información. Cualquier entidad o persona puede hacerse de este servicio ya que se basa en un estudio jurídico. En esta rama no solo se trata de usar tecnología de punta si no de la exigencia de una alta especialización de temas informáticos para poder detectar que ha ocurrido en el caso de un ataque informático. Su finalidad es llevar una investigación estructurada guardando la cadena de evidencia documentada con el propósito de averiguar exactamente lo que sucedió en un dispositivo informático. El procedimiento forense va de la mano de cuatro pasos: Identificación. - Es identificar los datos, el entorno real y la destreza de indagación que se quiere seguir para definir el hecho investigado. Preservación. - Toma imágenes forenses en la cual puede estudiar el caso investigado sin alterar la misma, nunca se debe hacer ningún tipo de acción directamente sobre las pruebas del caso. Análisis. - Es emplear en los medios guardados técnicas analíticas y científicas, con el fin de establecer que ciertos comportamientos asumieron un lugar, por las cuales se obtendrá que el caso investigado asumió o no lugar. 19 Presentación. - Recoge los datos investigados para realizar un informe y exposición a la parte contratante de modo entendible, para después crear un informe pericial para ser presentado ante el juez. La necesidad de este servicio nace a partir del instante en que se genera los datos y se encuentra guardada por medios electrónicos. En el auxilio de datos se puede dar el asunto de que no es accesible por distintos medios, ya sea por: Errores de fábrica del dispositivo a nivel de hardware o software. Por borrado del software del sistema de archivos. Por error humano en su manipulación. El interesado manifiesta su versión de los hechos y muy frecuente se encuentra otras fallas que se encontraron al momento del trato de recuperación de información. La Informática Forense no solo se orienta en la recuperación de datos sino del desvelar la información dado que no hubo necesariamente una falla del dispositivo ni un error humano sino un proceso secreto para borrar, modificar u ocultar información. Es por eso que la acción de la modificación pase desapercibida. Se solicita la máxima aptitud dado que se afronta desde casos en que el dispositivo fue eliminado, malogrado y dañado físicamente hasta leves variaciones de información que pueden constituir un crimen. Este servicio es de gran ayuda para las entidades que llevan adelante juicios laborales con sus empleados, estudios jurídicosque requieren recabar datos ya sea para mostrarla frente a un tribunal o bien para mediar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc. Es de beneficio para los organismos judiciales y policiales que buscan evidencias de todo tipo de crímenes, creando un componente irremplazable en litigios civiles. La Informática Forense surge como una disciplina auxiliar de la justicia moderna, para afrontar los desafíos y técnicas de los intrusos informáticos, así como garantizar la verdad utilizando la evidencia digital. 6.2.1.13.1. Fases de la informática forense Para obtener buenos resultado, es preciso s e g u i r algunas metodologías fijadas por un propósito, es por ello que, al efectuar una investigación forense, es primordial seguir ciertas fases. 20 Figura 9 Fases de la informatica Forense Fuente :Autor de la Investigacion ,2022 Logrando este ciclo, el proceso y la investigación, finalizara con éxito, pero, una falla en cualquiera de estas, y toda la investigación se verá afectada y por ello fallara. 6.2.1.13.1.1. Identificación del incidente En esta fase es en donde se recoge todos los datos posibles del incidente el cual nos tendrá que solucionar las incógnitas como con quien se relacionaba la victima o quien podría estar vinculado. todos los resultados logrados en esta fase afectaran para la toma de decisiones y reacciones que se deban tomar con respecto al incidente. 6.2.1.13.1.2. Obtención de la evidencia Para el logro de la evidencia, se debe de crear una imagen forense bit a bit del dispositivo a indagar de la escena del crimen. En esta replica idéntica de la evidencia es en donde se va a efectuar las prácticas de los análisis para recobrar archivos eliminados, archivos ocultos. 21 Figura 10 Herramienta forense Fuente :Jose Lorenzo,2020 Hay que tomar muy en cuenta las herramientas de software o hardware con las cuales se va a realizar la imagen forense, ya que estas junto con los métodos del investigador deberán ser validades y admitidos por los profesionales de su sector. Trabajar con tecnologías emergentes, no siempre es lo mejor, lo ideal es que otros investigadores hubieran laborado anteriormente con esas órdenes dando como reflejo informes positivos. Es de vital importancia proteger la integridad de la evidencia, estas pruebas no deben sufrir modificaciones de ningún tipo. Generalmente el dispositivo (disco duro, pendrive, etc.) se precinta luego de haber logrado tres copias cuyos hashes van a concordar con las copias efectuadas. Un hash viene a ser una identificación de huella digital de un archivo o un dispositivo de almacenamiento el cual nos ofrece la seguridad y confianza de que la copia forense bit a bit de la evidencia original no ha sido modificado. Al momento de tomar la evidencia, existen ciertos elementos a tomar en cuenta y uno de los más vitales es la volatilidad de los datos, esto datos son los que se eliminaran al apagar el equipo. Habitualmente en una escena del crimen donde los ordenadores se encuentran en funcionamiento activo y cumpliendo sus tareas, y su red ha sido atacada, surge un problema de que acción debemos manejar. Si apagamos los computadores con la idea de detener el ataque, lo vamos a lograr, pero en verdad perderemos datos importantes, se podría borrar archivos temporales que se eliminan automáticamente al frenar el sistema operativo perdiendo elementos importantes de la evidencia o quedando modificada la prueba del delito, y si dejamos encendidos los ordenadores, el ataque continuara en ejecución causando daños. Una de las alternativas emergentes a usar es desconectar los ordenadores de la red, quizá perderemos datos, pero en menor proporción de como si la hubiésemos apagado. Estas opciones dependen mucho del investigador, circunstancias e incidentes ocurridos mas no significa que sea la opción más viable. 22 Otra opción es efectuar un análisis en caliente, que se basa en utilizar herramientas de software forense especializadas para hacer un rápido análisis de la evidencia, no es muy aconsejable dado a que se podría modificar nuestra evidencia original. 6.2.1.13.1.3. Preservación de la evidencia La preservación de la evidencia está orientada al resguardo de los objetos que tenga datos como evidencia quedando completos, revisable y claras. Cualquier prueba llevada a cabo sobre la evidencia no debe generar cambios ya que, de ser así y generar un cambio inevitable, es muy importante que se presente la razón puntualizando todo su acontecimiento, registrarlo y justificarlo. Recomendaciones para el cuidado de la evidencia para que en caso de un proceso legal sea admisible. Figura 11 Evidencia recolectada Fuente: Liliana Figueroa,2020 6.2.1.13.1.3.1 Manipulación de la evidencia digital *Los medios forenses a usar en las copias de datos deben estar purificados *Ejecutar operaciones para recoger datos de la evidencia digital sin cambiar la original, conservando y registrando su integridad * Un único profesional forense debe tener permiso a la evidencia digital forense *Los duplicados de resultados forenses disponibles, deben de estar señaladas, vigiladas y resguardadas *El técnico que este a cargo de la evidencia digital forense será responsable de las acciones tomadas en ella. *Renovar la cadena de custodia (Nombre del encargado que examina la evidencia, fecha, tiempo de disposición de la evidencia, hora de devolución, etc.) *Evidencia cuidada digital y físicamente 23 Cadena de custodia Es un sistema que nos facilita el salvar las evidencias, certificando la integridad, conservación, imperturbabilidad de un espécimen o evidencia desde su obtención. Estos serán mostrados y se utilizara como medios de prueba en los estados judiciales. Está construida por la siguiente información: Quien o quienes recogieron la evidencia Donde y cuando fue recogida la evidencia Quien resguardo la evidencia Quien ha podido ver la evidencia 6.2.1.13.1.4. Recuperación y análisis de la evidencia Recuperación. Para recobrar la evidencia, el investigador usara técnicas y software forense que le auxilien a lograr archivos, los cuales serán de gran ayuda para la resolución del caso. Hay que dar por hecho que en ocasiones el criminal hará lo posible para borrar información incriminatoria y evidencias de su presencia. La información restaurada pasará a la fase de análisis donde nos dará un diagnóstico de quien o quienes fueron los atacantes. Además, de las actividades ilegales a las cuales se dedican. Obteniendo el equipo del sospechoso podemos encontrar documentos, correos, logs, datos encriptados, datos ocultos, todos estos aun así hayan sido borrados dejando por resultado las actividades ilícitas realizadas. 6.2.1.13.1.5. Documentación y presentación de la evidencia Una vez finalizada la fase de análisis forense de la evidencia, ya obtendremos los resultados y a su vez el conocimiento del tipo y alcance de ataque e incidente ocurrido, daños causados, culpables y toda la información necesaria para la resolución y finalización del proceso de investigación. El investigador forense tiene que documentar mediante un informe minucioso todo el proceso ejecutado, como metodologías, software forense manejado, técnicas aplicadas desde que se lograron las evidencias hasta la fase del análisis. Existen dos tipos de informes: Informe Técnico En este informe el investigador forense deberá puntualizar de manera general el análisis efectuado, dando a conocer metodologías, herramientas, tipos de ataques y software que fueron utilizados para dicho propósito. Además, la fecha de las actividades realizadas en la evidencia. También se debe suministrar todos los datos de las actividades técnicas que fueron utilizadas en la investigación. 24Este informe debe tener: *Exposición *Antecedentes *Objetivo *Descripción de la evidencia Entorno y recolección *Herramientas utilizadas *Recolección de datos *Análisis *Integridad de la evidencia *Identificación de la evidencia *Servicios y procesos activos *Programas ejecutándose en el sistema *Metodología *Descripción de hallazgo *Huellas de conductas, Diligencias y Pistas del sospechoso *Cronología de Actividades *Posibles víctimas del sospechoso *Posibles cómplices del sospechoso *Conclusiones *Recomendaciones *Referencias Informe Ejecutivo Este relata la misma información que guarda el informe técnico con la diferencia de que en el informe ejecutivo se emplea una definición no técnica y con lenguaje común el cual va dirigido a la persona no especializada en informática como lo pueden ser: Abogados, Recursos humanos de la entidad afectada, integrantes del juzgado, etc. Este informe debe contener: 25 Introducción, análisis, resumen de hechos, conclusiones, recomendaciones. 6.2.1.15. Esteganografía y Estegoanálisis En la informática, se dedica al estudio del grupo de técnicas que tiene por objetivo esconder la información sensible, mensajes u objetos dentro de otros ficheros nombrados contenedores o portadores como pueden ser: archivos ejecutables, imágenes digitales, multimedia, audio, videos, siendo transparente a terceros y recuperada por un usuario legítimo. Figura 12 Encriptacion de datos Fuente Jordi Serra ,2012 Es la ciencia y el arte dedicada al estudio del descubrimiento de mensajes ocultos aplicados por la esteganografía. Suelen estar en medios como imágenes, video, audio o incluso un simple texto plano. Técnicas de esteganografía Inserción de bits en el objeto contenedor (PoC) A partir de una seña estructural del fichero contenedor (fin de fichero, espacios de padding o alineamiento, etc.) se agregan los bits a ocultar. El problema es que se aumenta el tamaño del fichero contenedor siendo un poco indiscreto ante terceros. 6.2.1.16. Características de las herramientas forenses Las características de las herramientas forenses profesionales cambian mucho dependiendo de la disciplina del análisis forense y el mercado al que están orientados. *Hash de disco completo para poder corroborar que los datos no han cambiado (normalmente se usa una herramienta para obtener y otra para ratificar el hash de disco). * Localizadores de rutas exactas. *Borrar los sellos de fecha y hora. * Tiene que agregar una característica de apropiación. * Búsqueda y filtrado de artículos. 26 * La capacidad de presentar copias de seguridad de iOS y examinar sus datos 6.2.1.17. Herramientas y equipos de informática forense para ordenadores Las diferentes herramientas que existen que son empleadas en lo cotidiano por investigadores y especialistas en informática forense son las siguientes: BlackBag Technologies: es la herramienta forense para Mac, herramienta de inspección para Windows también analiza todos los dispositivos iOS, así como Android. Figura 13 Logo de BlackBag Technologies Fuente: Onretrieval,2021 AccessData: Proporciona el filtrado y la búsqueda de dispositivos Móviles y Ordenadores, que son más rápidos que con cualquier otra solución. Figura 14 AccessData Logo Fuente: Apple ,2022 Guidance Software: desarrolla EnCaseForensic Software que es una herramienta de análisis forense para PC, usada para encontrar pruebas de pornografía infantil. Figura 15 Guidance Logo Fuente: Cyber Security Summit ,2021 MagnetForensics: Desarrollada por un ex oficial de policía y programador, MagnetForensics es una plataforma completa de investigación digitalde teléfonos donde sea posible (la mayoría de Android y iPhone 4 e inferior, y BlackBerry). X-Ways: Realizan una labor excelente cuando se trata de imágenes de disco, clonación de disco, reconstrucción de RAID virtual, análisis de unidad de red remota, acceso remoto a RAM, acceso a almacenamiento en la nube. Disk Drill: Utilizada para recuperar documentos, imágenes, archivos de vídeo y otros tipos de datos de una variedad de dispositivos de almacenamiento diferentes. 27 Figura 16 MagnetForensics Logo Fuente: MagnetForensics,2022 OSForensic: es una pieza clave en investigaciones forenses digitales (digital forensics, como se conoce en inglés), un todo en uno que permite localizar pistas, mirar en el interior de registros y sus principios y, finalmente, organizar e indexar todos los datos hallados para un tratamiento posterior y su presentación. (Lance, 2018). Figura 17 OSForensic Logo Fuente: Edas Fox,2022 6.2.1.17.1. Funcionamiento deOSForensic OSForensics puede ser de mucha utilidad, ya que puede mostrarnos todas las actividades que ha realizado otro usuario en nuestro equipo. Para ello trabaja el análisis de la información mediante en 3 fases que permiten que la misma se desarrolle de manera correcta. Descubrimiento: Es capaz de extraer contraseñas, descifrar archivos y recuperar elementos borrados de diferentes sistemas de archivos: Windows, Mac y Linux. Identificación: Se analizan todos los archivos y permite crear una línea de tiempo (timeline) de toda la actividad del usuario, para presentarla en orden cronológico. Administración: Permite organizar todas nuestras evidencias en un guión ordenado, incorporando los datos del examinador forense. 28 Ventajas de OSForensic Soporte para Reconocimiento óptico de caracteres en Windows 10 Informes cifrados en PDF Mejora x3 en velocidad de indexado, añadiendo soporte multi-hilo, disco RAM y bypass de pre-escaneo Brinco a partir del Visor de disco en bruto al registro MFT Función de quickhashing Soporte para EFS o Encrypted File System Une la última versión de VolatilityWorkbench con soporte para Mac y Linux Recuperación de claves de Bitlocker Función de auto-descubrimiento mejorada Recuperación de vídeos en formato MP4 desde webs como YouTube (Alejandro, 2018) 6.2.1.18. ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES Desde que el móvil ha llegado a formar parte cotidiana de nuestras vidas, se ha convertido en un compañero del que difícilmente nos desprendemos ya sean para comprar entradas, como conseguir álbumes de música, como medio de comunicación con nuestro entorno, entre otros. (Abogacia Española, 2017) En vista de que los dispositivos móviles se han convertido en una necesidad cotidiana la realización de un análisis forense permite conocer la información que haya sido adquirido por otros de manera ilegal o accidentalmente eliminada de algún dispositivo tecnológico. Para detallar con más precisión el realizar un análisis a los dispositivos mediante aplicaciones forenses permite que la información se resguarde de manera segura, lo cual en los diferentes ámbitos ya sea personal, laboral o profesional se puede convertir en una gran herramienta que facilitara enormemente procesos o actividades cotidianas. 6.2.1.18.1. Funcionamiento en móviles Existen 3 métodos diferentes de extracción de evidencias: adquisición física, adquisición del sistema de ficheros y adquisición lógica. Adquisición física: Reside en realizar un duplicado idéntico del original por lo que se resguardan la mayoría de las evidencias potenciales en archivos que han sido borrados. Adquisición lógica: Radica en realizar una copia de los objetos guardados en el dispositivo. Para ello, se usan los mecanismos implementados de modo nativo por el fabricante, es decir, aquellos que son usados de manera tradicional para armonizar el terminal con un ordenador. 29 Adquisición del sistema de ficheros: Consiste en conseguir todos los ficheros visibles mediante el sistema de ficheros, lo que no contiene ficheros borrados o particiones ocultas. 6.2.1.18.1.1.¿Qué es lo que se puede adquirir de un celular
Compartir