informatica_forense_1

Vista previa del material en texto

La Informática Forense en la resolución de delitos 
 
Azcoaga, Sofía; Benedetti, Santiago Simón; Berro, Camila; Terrazas, 
Nahuel; Kevorkian, Joaquín 
Universidad Tecnológica Nacional, Facultad Regional Buenos Aires 
{sofiaazc3@hotmail.com, santibene21@icloud.com, camiberro.cb@gmail.com, 
joaquinkevorkian@gmail.com, nterrazasalcocer@est.frba.utn.edu.ar}
Abstract 
El objetivo del presente trabajo es comprender el 
área de la Informática Forense, de qué se trata, qué 
utilidad tiene y la metodología que utiliza para 
llevarse a cabo de manera correcta, concluyendo en 
la importancia de su estudio. Para lograr una buena 
aplicación de esta disciplina es necesario que se 
sigan una serie de pasos, los cuales tienen que ver 
con la recolección de datos, el análisis de ellos, y la 
realización de un reporte que permita preservar 
formalmente la información obtenida. Todos estos 
pasos utilizan una serie de herramientas que le 
permiten al especialista forense realizarlos de 
manera óptima. 
Palabras Clave 
Análisis Forense, informática, herramientas, TIC`s, 
metodología, organizaciones, empresas, avance 
tecnológico, delitos cibernéticos. 
 
1. Introducción 
 
La Informática Forense hace referencia a 
una rama de la Informática que tiene sus 
inicios a fines de los ochenta. En ella se 
emplean métodos relacionados con el 
análisis de datos y pruebas digitales desde 
una máquina computacional, para la 
resolución o prevención de delitos, ya sean 
delitos de carácter informático o incluso de 
otros ámbitos [1]. Con el incremento en el 
uso de las nuevas Tecnologías de la 
Información y la Comunicación (TIC´s que 
ofrecen nuevas y mejores oportunidades que 
permiten diseñar, producir e innovar para 
aumentar la competitividad) [2], se pone en 
evidencia que, por más que los crímenes 
ocurridos no sean cibernéticos, suele existir 
algún dispositivo electrónico involucrado, 
del cual se pueden extraer pruebas [3]. 
En este contexto, el cómputo forense se basa 
en adquirir, preservar, obtener y presentar 
datos que han sido procesados 
electrónicamente y guardados en soportes 
informáticos. Este método permite recuperar 
o rastrear datos que fueron eliminados o 
escondidos, lo que representa un avance 
significativo en las pericias cibernéticas [4]. 
La aplicación del análisis forense se realiza 
a través de variadas herramientas y 
metodologías, enfocándose en ciertas 
situaciones particulares, ya que no todos los 
casos son iguales y no todos se resuelven de 
la misma manera. 
En este contexto, el objetivo del presente 
trabajo (realizado en el marco de la cátedra 
o 
de cursada) es analizar el rol de la 
Informática Forense para la resolución de 
delitos. 
Para cumplir con el objetivo propuesto, el 
trabajo se estructura de la siguiente manera: 
en la sección 1, se define el concepto de 
análisis forense. En la sección 2, se analiza 
las ventajas y las desventajas de las TIC´s y 
cómo se relacionan con la Informática 
Forense. En la sección 3, se explican las 
diferentes metodologías y herramientas que 
permiten el análisis forense. Finalmente, en 
la sección 4, se detallan las conclusiones y 
futuras líneas de trabajo. 
 
2. Informática Forense 
 
El Análisis Forense es un área de la 
Informática que trata de reconstruir cómo un 
sistema ha sido vulnerado tras un incidente 
de Seguridad mediante distintos métodos y 
herramientas. Este análisis permite 
determinar quién, desde dónde, cómo, 
cuándo y qué acciones ha llevado a cabo un 
intruso [3]. 
Forense es la ciencia de adquirir, preservar, 
obtener y presentar datos que han sido 
procesados electrónicamente y guardados en 
afirmar, entonces, que es la rama de la 
informática que interviene en la resolución 
de delitos por medio de la recolección, 
análisis y validación de pruebas digitales, 
convirtiéndose, así, en una disciplina 
auxiliar de la justicia moderna [6]. 
 
Esta ciencia permite identificar las 
violaciones cometidas contra los sistemas de 
información y mediante un análisis de los 
datos obtenidos es posible determinar la 
procedencia de las mismas, preservando los 
registros que luego pueden ser utilizados 
para conseguir justicia legal [7]. 
 
A su vez, en delitos no cibernéticos, la 
Informática Forense permite, de todas 
maneras, seguir el curso de información 
específica que pueda ser considerada útil 
como evidencia en un caso judicial, siempre 
y cuando la misma no haya sido alterada de 
ninguna manera y cualquier copia que se 
hubiera realizado fuera idéntica a la original. 
 
2.1 Objetivos de la Informática Forense 
 
La Informática Forense (IF) persigue 
distintos objetivos: preventivos, correctivos, 
probatorios y auditores [8]. 
A continuación se detalla cada uno de ellos: 
Fines preventivos: ayudan a prevenir 
posibles delitos informáticos. Los 
encargados de seguridad de la empresa u 
organización utilizan las herramientas de la 
informática forense, realizando pruebas y 
cumple con lo deseado. 
Fines correctivos: si se encuentra un fallo en 
alguna prueba de seguridad, se utilizan las 
herramientas de la informática forense para 
corregirlo. 
Fines probatorios: se busca obtener 
información sobre la intrusión en el sistema, 
el traslado de datos, la creación y 
destrucción de archivos, etc. Se puede llegar 
a descubrir el o los causantes del delito, y 
con el conjunto de información obtenida, 
utilizarla como prueba con validez legal ante 
un juzgado. 
Fines auditores: relacionados con los fines 
correctivos, se programa una auditoría de 
seguridad para probar periódicamente si los 
sistemas de seguridad están funcionando 
correctamente. 
 
2.2 Las TICs y la Informática Forense 
 
El uso de tecnologías basadas en las TIC´s 
(Tecnologías de Información y 
Comunicación) ocasiona la importante 
revolución económica denominada 
este proceso, se incrementan las relaciones 
entre los distintos países, lo cual permite la 
comunicación de las organizaciones 
alrededor de todo el mundo [9]. 
 
La aplicación de las TIC´s permite que, hoy 
en día, las empresas aprovechen los nuevos 
recursos tecnológicos para su propio 
crecimiento y les ofrece una mayor 
competitividad con respecto al resto de las 
organizaciones [10]. 
 
Las tecnologías tienen como finalidad 
brindar soluciones y mejoramiento para el 
funcionamiento óptimo de los procesos 
dentro de una organización, para que éstas 
puedan alcanzar los objetivos establecidos. 
El uso de las TIC´s puede ser ventajoso para 
las empresas. Esto es debido a su flexibilidad 
tanto funcional como operativa, su soporte a 
las necesidades de una organización y su 
capacidad de evolucionar constantemente 
[11]. 
 
Aunque parezca que las TIC´s solo tienen 
aplicaciones beneficiosas, éstas también 
poseen ciertas desventajas a tener en cuenta. 
Algunas de ellas son fuga de información, 
robo, modificación ilegal de datos, pérdida 
de capacidades de procesamiento y daño de 
equipos [12]. 
 
Una de las desventajas más significativas es 
la vulnerabilidad a delitos informáticos [13]. 
Es por ello que se deben tomar medidas 
preventivas para evitar que ocurran estos 
hechos delictivos. De todas formas, siempre 
existe la posibilidad de que ocurra dicha 
situación. El Análisis Forense es una 
herramienta que toma un rol muy importante 
a la hora de resolver este tipo de problemas 
[14]. 
 
El uso de las TIC´s ha ido aumentando 
durante los últimos años debido a que cada 
vez más dispositivos tecnológicos se 
encuentran involucrados en la sociedad o en 
una organización. Además, cada vez son 
más las empresas que están ligadas al uso de 
las TIC´s, lo que pone a las organizaciones 
en una situación de mayor vulnerabilidad a 
los ataques cibernéticos [15]. 
 
Entre los años 2011 y 2012, las víctimas de 
delitos informáticos aumentaron de un 10% 
a un 13% a nivel global (entre el 8% al 12% 
en algunos países, mientras que en casos 
extremos hasta un 40%) [16]. 
 
Es posible afirmar que el avance de las TIC´s 
en las organizaciones se encuentra en 
constante relación con elárea del Análisis 
Forense. El aumento de la aplicación de las 
tecnologías permite el avance y el 
crecimiento del área que se dedica al análisis 
de delitos relacionados con la información 
[4]. 
 
 
3. Metodologías y herramientas de la 
Informática Forense 
 
La metodología en la cual se basa la IF 
consta de cuatro etapas: la primera se basa 
en la identificación de equipos que puedan 
contener evidencia y la recolección de la 
misma; la segunda, implica la preservación 
de los datos digitales y la garantía de que 
éstos no serán alterados o modificados; la 
tercera etapa se relaciona con el análisis de 
las copias de datos realizadas, en busca de 
evidencias que puedan resultar útiles; 
finalmente, debe realizarse un reporte de los 
datos utilizados, la pruebas halladas y las 
manipulaciones realizadas [8]. 
 
Si se tiene en cuenta lo que dice la IOCE 
(International Organization on Computer 
Evidence), hay cinco aspectos que deben ser 
tomados como principios para el manejo de 
la evidencia digital [17]: 
a. Sobre recolectar evidencia digital, 
las acciones tomadas no deben cambiar por 
ningún motivo esta evidencia. 
b. Cuando es necesario que una persona 
tenga acceso a evidencia digital original, esa 
persona debe ser un profesional forense. 
c. Toda la actividad referente a la 
recolección, el acceso, almacenamiento o a 
la transferencia de la evidencia digital debe 
ser documentada completamente, 
preservada y disponible para la revisión. 
d. Un individuo es responsable de todas 
las acciones tomadas con respecto a la 
evidencia digital mientras que esta esté en su 
posesión. 
e. Cualquier agencia que sea 
responsable de recolectar, tener acceso, 
almacenar o transferir evidencia digital es 
responsable de cumplir con estos principios. 
 
A continuación, se procede a desarrollar los 
procedimientos que sigue la metodología y 
las herramientas de las que se vale. En la 
subsección 3.1 se desarrollan las etapas de 
recolección y resguardo de datos. En la 3.2 
se explica la etapa de análisis y confección 
del reporte, mientras que en la subsección 
3.3 se enumeran las suites más utilizadas en 
este proceso. 
3.1 Recolección y preservación de datos 
digitales 
 
Estas dos primeras etapas son una de las más 
críticas dentro del análisis forense, y es que 
el análisis posterior e investigación no serían 
válidos si el trabajo se realiza mal [2]. 
 
Las herramientas elegidas por los peritos 
para la recolección de los datos deben 
ajustarse a la naturaleza de los dispositivos 
sometidos, además de ser capaces de 
preservar la copia original de sus unidades 
de almacenamiento [18]. 
Para lograr esto, en algunos casos es posible 
emplear un aparato físico como lo es un 
dispositivo de bloqueo de escritura de 
hardware que imposibilita la alteración de un 
HDD mientras que también se trabaja sobre 
el mismo, por ejemplo, realizando su lectura 
y clonación. [19]. 
 
tiempo determinado, dependiendo de la 
actividad del equipo [20]. Es este el motivo 
por lo cual este tipo de información debe ser 
recopilado de manera inmediata y por lo que 
las máquinas no deben ser apagadas en caso 
de encontrarse en funcionamiento. 
Normalmente se encuentran en la memoria 
RAM, en la swap ó en la memoria virtual. 
Una vez hecha la copia, se debe verificar que 
los dispositivos de origen y destino sean 
idénticos para así confirmar la autenticidad 
de los datos [21]. 
 
Ninguno de estos procedimientos podría 
llevarse a cabo sin las herramientas 
correctamente aplicadas al caso específico. 
 
3.2 Análisis e interpretación de datos 
 
Esta etapa se caracteriza por ser extensa 
debido a la gran variedad de herramientas, 
métodos, técnicas, o procesos que se llevan 
a cabo. Ya obtenidos los datos a analizar, se 
debe planificar el procedimiento a seguir 
dependiendo de qué es lo que realmente se 
está buscando [18]. 
 
El estudio de la línea de tiempo es el punto 
de partida para todo análisis, ya que con este 
se reconstruye todo lo que haya pasado en 
una máquina. Esto se logra buscando 
ficheros y registros que hayan sido 
recientemente modificados de algún modo 
en el último tiempo, incluyendo también 
nueva información, programas, la 
eliminación de ellos o cualquier tipo de dato 
anómalo. Generalmente, las fuentes 
principales de recogida de información son 
los siguientes: registro de los sistemas 
analizados, registro de los sectores de 
intrusión, registro de cortafuegos, ficheros 
del sistema analizado. Ejemplo de un posible 
análisis podría ser detectar la creación de 
ciertos archivos que no son posibles de 
encontrar, lo que lleva al perito a iniciar su 
búsqueda en archivos ocultos o, de ser 
necesario, la recuperación de éstos [8]. 
 
Una vez concluida esta etapa, se procede a 
finalizar con el reporte de la investigación y 
explicar los resultados obtenidos, donde 
debe constar todo procedimiento aplicado 
correctamente durante el peritaje realizado. 
 
3.3 Herramientas de la Informática 
Forense 
 
Son variadas las aplicaciones que existen 
para la realización de un análisis forense. 
Cuando las aplicaciones se encuentran 
agrupadas en un mismo paquete el mismo es 
denominado suite. 
Algunas de las herramientas más utilizadas 
son: 
 
Encase: plataforma de investigación que 
recolecta datos e información digitales y 
realiza análisis. Encase Forensic produce 
una copia binaria exacta del dispositivo 
original y luego verifica generando valores 
hash MD5 de las imágenes y asignando 
valores CRC a los datos. Gracias a esto se 
puede comprobar si la información ha sido 
alterada o manipulada [22]. 
 
Autopsy: interfaz gráfica basada en HTML, 
permite analizar los discos de Windows y 
UNIX y sistemas de archivos. Permite 
búsquedas de palabras sobre todo el equipo. 
Extrae datos EXIF de las imágenes, permite 
visualizar miniaturas de estas, entre tantas 
otras herramientas. Al estar basada en 
HTML, se puede conectar con el servidor de 
Autopsy de cualquier plataforma con un 
navegador HTML [23]. 
 
Forensic Toolkit (FTK): plataforma de 
investigación digital aprobada por 
tribunales, traída al mercado por la empresa 
AccessData. Una de sus particularidades 
implica su funcionamiento con base de datos 
y no con memoria, lo que permite que ante 
cualquier dificultad, tal como apagón o 
crash, los avances conseguidos no se pierdan 
y los análisis continúen desarrollándose. 
Además, esta característica implica que los 
diferentes miembros del equipo puedan 
acceder a la información en simultáneo. Al 
igual que la mayoría de las suites, permite la 
recolección y análisis de evidencias, el 
descifrado de contraseñas, la recuperación 
de datos borrados, entre otras funciones [24]. 
Resultados 
Los resultados de la investigación muestran 
que por la gran cantidad de herramientas 
existentes y el grado de informatización al 
que se dirige la sociedad, la Informática 
Forense es de gran utilidad y está en pleno 
desarrollo. Es posible afirmar que la 
Informática Forense es una disciplina de 
amplia aplicación y ha sido de gran 
importancia en los Tribunales de Justicia. Se 
destaca, la existencia de una metodología 
avalada por una institución especializada 
(IOCE), que establece las etapas de las que 
no puede prescindir un análisis forense 
informático. 
Según una encuesta ad-hoc realizada en 
2009 [25] se sabe que: 
-El 75% de empresas con proveedores en el 
exterior tiene conexión remota a los sistemas 
de información de la organización. 
-Tener proveedores en el exterior estimula el 
uso de la telefonía IP y teleconferencia/ 
videoconferencias. Respectivamente 50% y 
el 63% de las empresas con proveedores en 
el exterior las utiliza. 
-Todas las empresas declaran tener conexión 
a Internet. 
-Alrededor del 80% utiliza conexión a 
Internet en banda ancha. 
-Más del 50% utiliza conexiones 
inalámbricas. Ninguna utiliza conexión 
Dial-up. 
-Respecto al uso que hacen de Internet, del 
total de las empresas, al menos el 80% utiliza 
e-banking, alrededor del 40% comprabienes 
o servicios on-line. 
-Más del 80 % de las empresas posee redes 
de área local (LAN). 
El propósito de estos datos es dar a conocer 
la aplicación de las tecnologías de la 
información, en Argentina, para el año 2009. 
Se debe tener en consideración, a su vez, el 
crecimiento exponencial de estas en los 
últimos diez años. 
Conclusiones 
 
Es posible afirmar que resulta beneficioso 
estudiar la Informática Forense ya que, con 
el avance de la tecnología, fue creciendo a lo 
largo del tiempo y hoy en día es una 
herramienta fundamental a la hora de 
resolver delitos que involucren dispositivos 
electrónicos, sobre todo en organizaciones, 
las cuales son las más vulnerables a sufrir 
este tipo de ataques. También, es posible 
observar que la Informática Forense es una 
disciplina y, como en cualquier otra, surge la 
necesidad de seguir una metodología, que 
aplicada de la forma correcta permite que se 
logren los objetivos que se propone, entre los 
cuales se encuentran el de resolver delitos en 
el ámbito tecnológico y prevenirlos. Cuanto 
mejor se realicen las tareas relacionadas con 
esta área, más eficiente y eficazmente se 
desarrollarán las empresas. Esto es debido a 
que la Informática Forense se encuentra 
fuertemente ligada con las organizaciones, 
ya que permite que éstas tengan una ventaja 
a la hora de resolver problemas que se 
relacionan con la pérdida de información a 
causa de agentes externos no deseados. 
 
Como futuras líneas de trabajo, se buscará 
ampliar los estudios en lo que respecta a las 
herramientas existentes y sus aplicaciones en 
la Informática Forense, tanto herramientas 
hardware como herramientas software. 
Se estudiará también, acerca de las posibles 
aplicaciones en materia legal de las pericias 
obtenidas a causa de las herramientas de la 
Informática Forense. 
 
 
 
Referencias 
 
[1] Plácida Fernández/ Áudea Seguridad de la 
2018. Disponible en: https://cutt.ly/ltYh8p. Última 
visita: 20/08/2019 
[2] ESTRADA, Alex Canedo. La informática forense 
y los delitos informáticos. Revista Pensamiento 
Americano, 2010, no 4, p. 81-88. Disponible en: 
https://bit.ly/2JJUhNd. Última visita: 20/08/2019 
[3] Pous, Helena Rifà; RUIZ, Jordi Serra; LÓPEZ, 
José Luis Rivas. Análisis forense de sistemas 
informáticos. Catalunya: Universidad Oberta de 
Catalunya, 2009. Disponible en: 
https://cutt.ly/etYzgK. Última visita: 20/08/2019 
[4] Chaves, Michael Arias. Panorama general de la 
Informática forense y de los delitos Informáticos en 
costa rica. InterSedes, 2006, vol. 7, no 12. Disponible 
en: https://bit.ly/2LHdoKr. Última visita: 12/08/2019 
[5] Federal Bureau of Investigation. (s.f.). Cyber 
Crime. Disponible en: 
https://www.fbi.gov/investigate/cyber. Última visita: 
11/08/2019 
[6] Solomon, M. G.; Rudolph, K.; Tittel, E.; Broom, 
N.; Barrett, D. Computer Forensics Jumpstart. 
(2011). Wiley Publishing, Inc. Second Edition. 
Última visita: 12/08/2019 
[7] Lang Beebe, N.; Guynes Clark, J. Digital 
Investigation. (2005). The University of Texas at San 
Antonio, Department of Information Systems and 
Technology Management. Última visita: 01/09/2019 
[8] López Delgado, Miguel. Análisis Forense 
Digital. 2007. Disponible en: https://bit.ly/2fs5GSo. 
Última visita: 25/08/2019 
[9] SÁNCHEZ-TORRES, Jenny Marcela; 
GONZÁLEZ-ZABALA, Mayda Patricia; MUÑOZ, 
María Paloma Sánchez. La sociedad de la 
información: génesis, iniciativas, concepto y su 
relación con las TIC. Revista UIS Ingenierías, 2012, 
vol. 11, no 1, p. 113-128. Disponible en: 
https://bit.ly/2IEbPs5. Última visita: 4/08/2019 
[10]GONZÁLEZ, Ricardo Monge; ALFARO-
AZOFEIFA, Cindy; ALFARO-CHAMBERLAIN, 
José. TICs en las PYMES de Centroamérica: Impacto 
de la adopción de las tecnologías de la información y 
la comunicación en el desempeño de las empresas. 
Idrc, 2005. Disponible en: https://bit.ly/2XcExGs. 
Última visita: 27/07/2019 
[11]APORTELA RODRÍGUEZ, Ivett M. Intranets: 
las tecnologías de información y comunicación en 
función de la organización. Acimed, 2007, vol. 16, no 
4, p. 0-0. Disponible en: https://bit.ly/2ReCBLl. 
Última visita: 30/08/2019 
[12] CASO, C. S. A. Y. D., DE ESTUDIO, D. L. A. 
E., JIMÉNEZ, M. D. G. M., & DEL ESTADO, L. V. 
(2010). Auditoría informática y gestión de 
tecnologías de información y comunicación (TICs). 
Compendium, 13(25). Disponible en: 
http://tiny.cc/8tsb7y. Última visita: 20/08/2019 
[13]PEREYRA, Damián. Desarrollo de una Guía de 
Asistencia para el análisis forense informático en un 
ambiente piloto. En XVI Workshop de Investigadores 
en Ciencias de la Computación. 2014. Disponible en 
https://bit.ly/2Id3Y5Q. Última visita: 13/08/2019 
[14] Gervilla Rivas, C. Metodología para un análisis 
forense. (2014). Universidad Abierta de Catalunya. 
Instituto Nacional de Ciberseguridad. Última visita: 
5/07/2019 
[15] AREN, Cano; JOSÉ, A.; BAENA ROJAS, José 
J. Retos en la implementación de las TIC para el 
proceso de negociación internacional. Cuadernos de 
Administración (Universidad del Valle), 2013, vol. 
29, no 50, p. 153-163. Disponible en: 
https://bit.ly/2W2degA. Última visita: 12/08/2019 
[16]TEMPERINI, Marcelo GI. Delitos informáticos 
en Latinoamérica: un estudio de derecho comparado. 
En XLIII Jornadas Argentinas de Informática e 
Investigación Operativa (43JAIIO)-XIV Simposio 
Argentino de Informática y Derecho (SID)(Buenos 
Aires, 2014). 2014. Disponible en: 
https://bit.ly/2IeRdYs. Última visita: 32/08/2019 
[17] International Organization for Cooperation in 
Evaluation. (s.f.). Disponible en: 
http://bit.ly/2WJMpTA. Última visita: 23/08/2019 
[18] Ariel Podestá, Bruno Costanzo, Julián Waimann, 
Martín Castellote, Rita Sansevero. 2012. Disponible 
en: https://bit.ly/2YVUrW2. Última visita: 
01/08/2019 
[19] Clever Files. 2018. Disponible en: 
https://bit.ly/2Zp8js9.Última visita: 26/08/2019 
[20] Juan Esteban Castilla Guerra, Jonhattan Andreis 
Raquejo Romero. 2013. Disponible en: 
https://bit.ly/2WPfZHH.Última visita: 20/07/2019 
[21] Andrés F. Álvarez Serna, Oscar D. Marín Rivera, 
Juan D. Victoria Morales. 2012. FRAMEWORK 
PARA LA COMPUTACIÓN FORENSE EN 
COLOMBIA. Disponible en: https://bit.ly/2QxXTU7. 
Última visita: 05/08/2019 
[22] EnCase Forensic. User Guide. (2018). Versión 
8.07. Última visita: 02/09/2019 
[23]Sleuthkit, Autopsy forensic. Disponible en: 
http://bit.ly/31yDyms. Última visita: 02/09/2019 
[24] AccessData Group, Forensic Toolkit Brochure. 
(2017). V. 6.3. Disponible en: 
http://bit.ly/2WF7P4m. . Última visita: 02/09/2019 
[25] Jones Carola, Marchese Alicia, Nahirñak Paula. 
2011.Tecnologías de Información y Comunicación e 
Integración Inter-organizacional de Sistemas.
información. Estudio Preliminar en Empresas 
Industriales de las Regiones de Córdoba y Rosario. 
Disponible en: https://bit.ly/2Zp858T