Vista previa del material en texto
FACULTAD DE INGENIERÍA Ingeniería Informática y de Sistemas IMPLEMENTACIÓN DE UN LABORATORIO DE INFORMÁTICA FORENSE EN EL ÓRGANO RECTOR DEL SISTEMA DE INTELIGENCIA NACIONAL Tesis para optar el Título Profesional de Ingeniero Informático y de Sistemas ARMANDO CAJAMARCA SÁNCHEZ Asesor: Gustavo Luna Victoria León Lima - Perú 2016 FACULTAD DE INGENIERÍA Carrera de Ingeniería Informática y de Sistemas IMPLEMENTACIÓN DE UN LABORATORIO DE INFORMÁTICA FORENSE EN EL ÓRGANO RECTOR DEL SISTEMA DE INTELIGENCIA NACIONAL Tesis para optar el Título Profesional de Ingeniero Informático y de Sistemas ARMANDO CAJAMARCA SÁNCHEZ Asesor: Gustavo Luna Victoria León Lima – Perú 2016 ______________________ Paola García Juárez ______________________ Isabel Juana Guadalupe Sifuentes ______________________ Juan Manuel Gutiérrez Cárdenas Tabla de Contenido Introducción .....................................................................................................................14 1.1. Problema de Investigación .................................................................................16 1.1.1. Relevancia de la Investigación. ..................................................................16 1.1.2. Planteamiento del Problema. ......................................................................17 1.1.3. Formulación del Problema. .........................................................................19 1.1.3.1. Problema principal. ..............................................................................19 1.1.3.2. Problemas secundarios. ......................................................................19 1.1.4. Justificación. ...............................................................................................19 1.2. Antecedentes .....................................................................................................21 1.3. Objetivos ...........................................................................................................23 1.3.1. Objetivo General. ........................................................................................23 1.3.2. Objetivos Específicos. ................................................................................23 1.4. Hipótesis ............................................................................................................23 1.4.1. Hipótesis General .......................................................................................23 1.4.2. Hipótesis Secundarias ................................................................................23 1.5. Alcances ............................................................................................................24 1.6. Límites ...............................................................................................................24 Metodología de la Investigación .......................................................................................25 2.1. Nivel, Tipo y Diseño de Investigación ................................................................25 2.2. Variables ...........................................................................................................25 2.2.1. Variable Independiente. ..............................................................................25 2.2.2. Variable Dependiente. ................................................................................25 2.3. Relación entre Variables ....................................................................................26 2.4. Descripción de Procedimientos a emplear para la recolección de datos ............26 2.4.1. Fuentes. .....................................................................................................26 2.4.2. Técnicas. ....................................................................................................26 2.4.3. Instrumentos. ..............................................................................................26 Marco Contextual .............................................................................................................29 3.1. El Órgano Rector del Sistema de Inteligencia Nacional .....................................29 3.1.1. Visión..........................................................................................................29 3.1.2. Misión. ........................................................................................................29 3.1.3. Funciones. ..................................................................................................29 3.1.4. Organigrama. ..............................................................................................30 3.1.5. Mapa de Procesos. .....................................................................................31 3.2. Proceso de Inteligencia......................................................................................31 3.2.1. Búsqueda de Información ...........................................................................32 3.3. Área Funcional – Oficina de Tecnologías de la Información y Comunicaciones. 33 Marco Teórico ..................................................................................................................35 4.1. Delito Informático ...............................................................................................35 4.1.1. Concepto de Delito Informático. ..................................................................35 4.1.2. Clasificación del Delito Informático. ............................................................35 4.1.3. Legislaciones, Convenios y Organizaciones ...............................................36 4.1.3.1. Legislación Nacional. ...........................................................................36 4.1.3.2. Legislación Internacional. ....................................................................38 4.1.3.3. Convenios Internacionales...................................................................40 4.1.3.4. Organizaciones Internacionales. ..........................................................40 4.2. Análisis Forense Informático ..............................................................................41 4.2.1. Concepto. ...................................................................................................41 4.2.2. Objetivo. .....................................................................................................41 4.2.3. Escenarios. .................................................................................................42 4.3. La Evidencia Digital ...........................................................................................42 4.3.1 Principios. ...................................................................................................43 4.3.2 Clasificación. ..............................................................................................44 4.3.3 Criterios de Admisibilidad. ..........................................................................45 4.3.4 Manipulación. .............................................................................................45 4.4. Cadena de Custodia ..........................................................................................46 4.4.1 Acta de la Cadena de Custodia. .................................................................47 4.4.2 Del responsable de la Cadena de Custodia. ...............................................48 4.4.3 Custodia y Traslado de la Evidencia ...........................................................48 4.4.4 Cadena de Custodia durante el Análisis de la Evidencia. ...........................49 Perito Informático Forense ...............................................................................................505.1 El Informático Forense .......................................................................................50 5.2 Perfil del Informático Forense ............................................................................51 5.3 Deberes y Funciones del Informático Forense ...................................................51 5.4 Roles del Informático Forense durante una Investigación ..................................52 5.5 Acreditación para Peritos ...................................................................................53 Metodología de la Informática Forense ............................................................................54 6.1 Normas y Estándares ........................................................................................54 6.1.1 La Norma ISO/IEC 27037:2012 ..................................................................54 6.1.2 AENOR, Norma UNE 71506:2013 ..............................................................56 6.1.3 El NIST SP 800-86 .....................................................................................57 6.1.4 RFC 3227 ...................................................................................................57 6.1.5 NCJ 199408 ...............................................................................................58 6.2 Metodología propuesta para el Órgano Rector ..................................................58 6.2.1 Fase 1: Asegurar la Escena. .......................................................................60 6.2.2 Fase 2: Identificación de la Evidencia Digital. .............................................61 6.2.3 Fase 3: Recolección de la Evidencia Digital. ..............................................62 6.2.4 Fase 4: Preservación de la Evidencia .........................................................63 6.2.5 Fase 5: Análisis de la Evidencia Digital. ......................................................65 6.2.5.1 Preparar un entorno de trabajo ............................................................66 6.2.5.2 Creación de la línea temporal de sucesos ...........................................66 6.2.5.3 Determinar que procedimiento se llevó a cabo ....................................67 6.2.5.4 Identificar al autor ................................................................................67 6.2.6 Fase 6: Informe de Resultados. ..................................................................68 6.2.7 Fase 7: Retroalimentación. .........................................................................69 6.3 Metodología de Examen y Análisis de Datos .....................................................69 6.4 Metodología Planteada de Análisis Forense a Dispositivos Móviles. .................73 Diseño e Implementación del Laboratorio de Informática Forense ...................................76 7.1. Infraestructura ...................................................................................................76 7.1.1. Ubicación ....................................................................................................76 7.1.2. Diseño y Distribución del Laboratorio. ........................................................76 7.1.3. Seguridad Física de las Instalaciones. ........................................................79 7.1.4. Condiciones Ambientales. ..........................................................................80 7.2. Equipos Informáticos .........................................................................................80 7.3. Software Forense ..............................................................................................83 7.4. Capital Humano .................................................................................................86 7.4.1. Centros y Cursos de Capacitación. .............................................................87 Evaluación Económica .....................................................................................................89 8.1. Costos a Precios de Mercado ............................................................................90 8.1.1. Costos de Inversión. ...................................................................................90 8.1.2. Costos de Reposición. ................................................................................94 8.1.3. Costos de Operación y Mantenimiento a Precios de Mercado. ...................94 8.2. Evaluación Social ............................................................................................ 100 8.2.1. Beneficios Sociales. .................................................................................. 100 8.2.2. Costos Sociales. ....................................................................................... 101 8.2.3. Estimar los Indicadores de Rentabilidad Social. ....................................... 108 8.2.4. Análisis de Sensibilidad. ........................................................................... 109 8.3. Niveles de Estudios ......................................................................................... 112 8.4. Ficha del Proyecto ........................................................................................... 113 8.5. Diagrama de Actividades ................................................................................. 116 Conclusiones ................................................................................................................. 117 Recomendaciones ......................................................................................................... 119 Anexos .......................................................................................................................... 120 Anexo A: Intrusión a sistemas de información del Estado Peruano ............................ 121 Anexo B: Caso análisis forense: Raúl Reyes - FARC ................................................. 123 Anexo C: Funciones del Órgano Rector del Sistema de Inteligencia Nacional ........... 124 Anexo D: Clasificación de los delitos informáticos - ONU ........................................... 127 Anexo G: Áreas de trabajo del analista informático forense ....................................... 128 Anexo E: Acta de incautación de pruebas .................................................................. 130 Anexo F: Bitácora de análisis de la evidencia digital .................................................. 131 Anexo H: Consideraciones para las fases de la metodología planteada ..................... 132 Anexo I: Lugares donde encontrar evidencia digital ................................................... 134 Anexo J: Ingreso de la evidencia al laboratorio .......................................................... 135 Anexo K: Inventario de la evidencia ........................................................................... 136 Anexo L: Entrada y salida de la evidencia al/del almacén .......................................... 137 Anexo M: Elementos a analizar según el tipo de sistema ........................................... 138 Anexo N: Ingreso de visitantes al laboratorio.............................................................. 142 Anexo O: Ingreso y salida del personal al almacén del laboratorio ............................. 143 Anexo P: Hardware para el laboratorio forense .......................................................... 144 Anexo Q: Software Forense ....................................................................................... 148 Anexo R: Software forense de fuente abierta ............................................................. 154 Anexo S: Conocimientos recomendables del analista forense ................................... 158 Bibliografía y Referencias .............................................................................................. 161 Índice de FigurasFigura 1. Organigrama Institucional .................................................................................30 Figura 2. Macroprocesos Organizacionales .....................................................................31 Figura 3. Proceso de Inteligencia .....................................................................................32 Figura 4. Búsqueda de Información en el Proceso de Inteligencia ...................................33 Figura 5. Fases desarrolladas por la ISO/IEC 27037:2012 ..............................................56 Figura 6. Fases de la norma UNE 71506:2013 ................................................................56 Figura 7. Fases según el NIST ........................................................................................57 Figura 8. Fases según el NCJ 199408 .............................................................................58 Figura 9. Fases de la metodología planteada ..................................................................59 Figura 10. Metodología de análisis de datos ....................................................................72 Figura 11. Diseño y distribución de ambientes del Laboratorio de Informática Forense ...77 Figura 12. Cuadrante Mágico de Gartner para software E-Discovery – 2014 y 2015. ......85 Figura 13. Diagrama de actividades de ejecución del proyecto ...................................... 116 Índice de Tablas Tabla 1. Matriz de Consistencia Lógica ...........................................................................27 Tabla 2. Tipos y diferencias de software forense .............................................................84 Tabla 3. Certificaciones – Perito informático forense .......................................................88 Tabla 4. Adecución del ambiente físico ............................................................................90 Tabla 5. Hardware de adquisición, almacenamiento y procesamiento .............................90 Tabla 6. Software .............................................................................................................91 Tabla 7. Software especializado ......................................................................................91 Tabla 8. Capacitación al personal ....................................................................................92 Tabla 9. Resumen Alternativa N° 1 ..................................................................................92 Tabla 10. Personal especializado ....................................................................................93 Tabla 11. Resumen de la Alternativa N° 2 .......................................................................93 Tabla 12. Elaboración de estudio definitivo ......................................................................94 Tabla 13. Supervisión ......................................................................................................94 Tabla 14. Presupuesto de operación y mantenimiento (Del 1 año) ..................................95 Tabla 15. Presupuesto de operación y mantenimiento (Del 2 al 5 año) ...........................95 Tabla 16. Presupuesto de operación y mantenimiento (Considerando contratación de especialista) (Del 1 año) ..................................................................................................96 Tabla 17. Presupuesto de operación y mantenimiento (Considerando contratación de especialista) (Del 2 al 5 año) ............................................................................................96 Tabla 18. Costos totales de inversión a precio de Mercado: Alternativa N° 01 .................97 Tabla 19. Costos totales de inversión a precio de Mercado: Alternativa N° 02 .................97 Tabla 20. Flujo de Costos: Alternativa N° 01 ....................................................................98 Tabla 21. Flujo de Costos: Alternativa N° 02 ....................................................................99 Tabla 22. Alternativa N° 01: Costo a precios sociales .................................................... 102 Tabla 23. Alternativa N° 02: Costo a precios sociales .................................................... 102 Tabla 24. Elaboración estudio definitivo (adecuación) ................................................... 102 Tabla 25. Supervisión (ejecución) .................................................................................. 103 Tabla 26. Alternativa N° 01: Presupuesto de operación y mantenimiento (Del 1er año) . 103 Tabla 27. Alternativa N° 01: Presupuesto de operación y mantenimiento (Del 2 al 5 año) ...................................................................................................................................... 104 Tabla 28. Alternativa N° 02: Presupuesto de operación y mantenimiento (Del 1 año) .... 104 Tabla 29. Alternativa N° 02: Presupuesto de operación y mantenimiento (Del 2 al 5 año) ...................................................................................................................................... 105 Tabla 30. Alternativa N° 01: Flujo de costos .................................................................. 106 Tabla 31. Alternativa N° 02: Flujo de costos .................................................................. 107 Tabla 32. Beneficios ...................................................................................................... 108 Tabla 33. Valor Actual de Costo Social Neto ................................................................. 109 Tabla 34. Coste Efectividad (CE) ................................................................................... 109 Tabla 35. Alternativa 1: Análisis de Sensibilidad ............................................................ 110 Tabla 36. Alternativa 2: Análisis de Sensibilidad ............................................................ 111 Tabla 37. Requerimientos para Proyectos de Inversión Pública .................................... 112 Glosario de Términos Activos Críticos Nacionales. Son aquellos recursos, medios, procesos y operaciones con los que cuenta el Estado para desarrollar y mantener las capacidades nacionales, con la finalidad de lograr los objetivos nacionales y garantizar la seguridad la nación y su supervivencia. Se clasifican en las siguientes categorías: (Doctrina de Inteligencia Nacional, 2015) A. Personal B. Información C. Procesos, Actividades y Operaciones D. Infraestructura Física E. Infraestructura Cibernética F. Ambiente y Recursos Naturales Amenazas Persistentes Avanzadas (APT). La definición ampliamente aceptada es que se trata de un ataque selectivo de ciberespionaje, llevado a cabo bajo el auspicio de un país, por razones que van más allá de las meramente financieras o de protesta política. (Vega, 2011) Ciberdelincuencia. Se define como cualquier tipo de actividad ilegal en la que se utilice Internet, una red privada o pública o un sistema informático doméstico. (Bullguard, 2014) Delito informático o ciberdelito. Es toda aquella conducta ilícita que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación. (Congreso de la República, 2013) Ciberespionaje. Es aquel acto con el cual se obtienen secretos sin el permiso de aquél quien es dueño de la información. Se puede considerar como objetivo de ciberespionaje toda aquella información personal, clasificada, de propiedad o de sentido delicado y puede ser pertenencia de individuos, competidores, grupos, rivales y gobiernos. Las causas por las que se lleva a la práctica este acto pueden ser personales, políticas, económicas o de defensa o ventaja militar. (Tapia, 2012) Costo de Oportunidad. Se refiere a lo que debemos renunciar para obtener loque necesitamos prioritariamente. En otras palabras, todo bien tiene un precio asociado a su uso u obtención, por lo que implica un sacrificio en términos de una menor disponibilidad de otros bienes. (icarito, 2010) Hash. Es un valor numérico de longitud fija que identifica datos de forma unívoca. Los valores hash se utilizan para comprobar la integridad de los datos que se envían a través de canales no seguros. Puede compararse el valor hash de los datos recibidos con el valor hash de los que se enviaron para determinar si se alteraron los mismos. (Valbuena, 2010) Incidente de seguridad. Es la violación o amenaza inminente a la Política de Seguridad de la Información implícita o explícita. El Centro de Respuestas de Incidentes de Seguridad Informática del Uruguay (CERTuy) define a un incidente de seguridad de la información como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a la Política de Seguridad de la Información del organismo. (CERTuy, 2013) Inteligencia. Actividad que comprende un proceso sistemático de búsqueda, evaluación y análisis de información, cuya finalidad es producir conocimiento útil para la toma de decisiones. (Doctrina de Inteligencia Nacional, 2015) Inteligencia Nacional. Conocimiento útil para la formulación y ejecución de la política general de gobierno, proporcionado al Presidente Constitucional de la República y al Consejo de Ministros, con el objeto de garantizar la vigencia de los derechos humanos, proteger a la población de las amenazas contra su seguridad, defender la soberanía nacional, y promover el bienestar general y el desarrollo integral de la Nación. (Doctrina de Inteligencia Nacional, 2015) Inteligencia Militar. Conocimiento útil sobre las capacidades y vulnerabilidades del poder y potencial militar de actores de interés, para garantizar la independencia, soberanía, integridad territorial y el orden constitucional de la República. (Congreso de la República, 2012) Inteligencia Policial. Conocimiento útil sobre las capacidades y vulnerabilidades de actores de interés, nacionales y extranjeros, para garantizar, mantener y restablecer el orden interno, orden público y la seguridad ciudadana, con la finalidad de preservar la gobernabilidad y el estado de derecho. (Congreso de la República, 2012) Log. Es como una bitácora, donde se registran eventos, errores, cambios y procesos que generan las aplicaciones o el sistema operativo, que tras leerlos se puede determinar que eventos ocurrieron, sobre todo en caso de errores o vulnerabilidades. (Sanz, 2013) Malware. Es la abreviatura de “software malicioso”, término que engloba a todo tipo de programa o código informático malicioso cuya función es dañar un sistema o causar un mal funcionamiento. (Rivero, 2009). Producto de Inteligencia. Es el resultado del procesamiento de información elaborado por los órganos especializados de los componentes del SINA para un consumidor. Se puede materializar en un documento de inteligencia. (Doctrina de Inteligencia Nacional, 2015) 14 Introducción Hoy en día aún es posible encontrar empresas privadas e instituciones del Estado Peruano sin políticas o procedimientos para dar respuesta a un incidente de seguridad de la información, originando con ello que muchas veces se privilegie la continuidad de las operaciones en lugar de indagar la procedencia del incidente, el grado de impacto o la afectación que originó. Tal es así que, la consultora EY, en la encuesta sobre seguridad de la información publicada en enero de 2015, señala que el 53% de las empresas peruanas a las que evaluaron admitieron tener poca capacidad para detectar un ataque sofisticado, y que además, el 66% del total de estas reducirá entre 5% y 15% su presupuesto designado a seguridad informática en los próximos 12 meses (EY, 2015). A ello habría que agregar la existencia de ataques dirigidos o de Amenazas Persistentes Avanzadas (APTs) que requieren una mayor conciencia por parte de las organizaciones referente a la seguridad de la información y la seguridad informática, pues, por ejemplo: un malware hecho para realizar labores de ciberespionaje o sabotaje que no es detectado a tiempo o que no se llega a conocer su origen puede provocar daños importantes en una organización. Peor aún, si se logra detectar y rastrear el origen pero no se llevan a cabo los procedimientos adecuados para mitigarlo, y por el contrario se corrompe y descarta toda evidencia que pueda obtenerse y sirva dentro de una investigación. Así también, muchas veces se desconoce que todo dispositivo informático y electrónico, que forman parte de la vida de una persona como computadoras, teléfonos móviles, tabletas, grabadoras o cámaras, entre otras, registra todo lo que se hace con ellas; y, que los medios digitales como un correo electrónico, documento, fotografía, mensaje de texto, registro de geo localización GPS o incluso un número telefónico registrado como parte de una llamada, pueden contener evidencia digital de incidentes informáticos o de las actividades de los cibercriminales. De igual forma, todos estos elementos también permiten obtener datos como parte del proceso de búsqueda de información del ciclo de producción de inteligencia que apoyen la labor de producción de documentos de inteligencia. Como se aprecia, los dispositivos no solo registran una gran cantidad de información personal, sino también, muchas otras de las que no somos conscientes y que tiene que ver con el funcionamiento interno de cada dispositivo. Toda esta información es susceptible a ser analizada mediante la aplicación de prácticas forenses informáticas que permitirán conocer los hechos y la forma como estas se habrían generado; razón por la cual se considera a la informática forense como una actividad correctiva/reactiva, dado que permite recoger rastros probatorios para averiguar, siguiendo las evidencias http://gestion.pe/noticias-de-seguridad-informatica-7626 15 electrónicas, el origen del incidente (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas, destrucción de datos a nivel interno de la institución, o actividades que podrían ser realizadas desde uno o varios equipos concretos. Por consiguiente, realizar un adecuado análisis forense informático requiere de un equipo multidisciplinar que incluya profesionales expertos en tecnologías de la información y metodología forense, además de un laboratorio informático forense especializado que respalde y garantice la disponibilidad, confidencialidad e integridad de la evidencia digital. Por tanto, por la presente se propone la implementación del laboratorio de informática forense en el Órgano Rector del Sistema de Inteligencia Nacional, tomando en cuenta los beneficios que genera para la resolución de delitos informáticos, así como, en la obtención de datos que coadyuven, tras un análisis, a la producción de documentos de inteligencia.