PROYECTO VIABILIDAD DE IMPLEMENTACIÓN DE UN LABORATORIO DE INFORMÁTICA FORENSE EN LA CIUDAD DE PEREIRA

HAROLD MILLER BUITRAGO LÓPEZ COD: 10034674

UNIVERSIDAD CATÓLICA DE PEREIRA FACULTAD DE CINECIAS BÁSICAS E INGENIERIAS PROGRAMA DE INGENIERÍA DE SISTEMAS Y TELECOMUNICACIONES PEREIRA RISARALDA 2014

1

PROYECTO VIABILIDAD DE IMPLEMENTACIÓN DE UN LABORATORIO DE INFORMÁTICA FORENSE EN LA CIUDAD DE PEREIRA

HAROLD MILLER BUITRAGO LÓPEZ COD: 10034674

TUTOR JULIO CESAR CANO RAMIREZ INGENIERO DE SISTEMAS

UNIVERSIDAD CATÓLICA DE PEREIRA FACULTAD DE CINECIAS BÁSICAS E INGENIERIAS PROGRAMA DE INGENIERÍA DE SISTEMAS Y TELECOMUNICACIONES PEREIRA RISARALDA 2014

2

TABLA DE CONTENIDO

RESUMEN .......................................................................................................................... 10 INTRODUCCIÓN .............................................................................................................. 12 1.

2.

EL PROBLEMA DE INVESTIGACIÓN ................................................................ 14 1.1.

ANTECEDENTES ................................................................................................ 14

1.2.

FORMULACIÓN DEL PROBLEMA................................................................... 15

1.3.

JUSTIFICACIÓN .................................................................................................. 17

1.4.

OBJETIVOS .......................................................................................................... 18

1.4.1.

Objetivo General............................................................................................. 18

1.4.2.

Objetivos específicos ...................................................................................... 18

1.5.

ALCANCES Y LIMITACIONES DEL PROYECTO .......................................... 19

1.6.

BENEFICIOS DEL PROYECTO ......................................................................... 19

MARCO TEÓRICO ................................................................................................... 21 2.1.

ANTECEDENTES DE LA INVESTIGACIÓN .................................................... 21

2.1.1. 2.2.

Historia de la Informática Forense ................................................................. 22

LA INFORMÁTICA FORENSE........................................................................... 25

2.2.1.

Objetivos de la Informática Forense ............................................................... 27

2.2.2.

Campo de acción de la informática forense.................................................... 28

3

2.2.3.

Seguridad Informática e Informática Forense ................................................ 30

2.2.4.

Gestión de la Evidencia Digital ...................................................................... 30

2.3.

MODELOS DE PROCESOS DE INFORMÁTICA FORENSE ........................... 34

2.3.1.

Modelo de Casey (2000) ................................................................................ 34

2.3.2.

Modelo publicado por el U.S. Dep. of Justice (2001) .................................... 35

2.3.3.

Modelo de Lee (2001) .................................................................................... 35

2.3.4.

Modelo del DFRWS (2001) ........................................................................... 36

2.3.5.

Modelo de Reith, Carr y Gunsch (2002) ........................................................ 36

2.3.6.

Modelo Integrado de Brian Carrier y Eugene Spafford (2003) ...................... 37

2.3.7.

Modelo Extendido de Séamus Ó Ciardhuáin (2004) ...................................... 38

2.4.

CADENA DE CUSTODIA ................................................................................... 42

2.5.

METODOLOGÍAS Y ESTRATEGIAS EN BASE A LA INFORMÁTICA

FORENSE ........................................................................................................................ 47 2.6.

ELEMENTOS FUNDAMENTALES DEL PROCESO FORENSE ..................... 48

2.7.

REGLAS DE LA INFORMÁTICA FORENSE .................................................... 49

2.7.1. Regla 1: Minimizar el Manejo del Original........................................................ 50 2.7.2. Regla 2: Documentar los cambios ...................................................................... 50 2.7.3. Regla 3: Cumplir con las Reglas de Evidencia................................................... 51

4

2.7.4. Regla 4: No exceda su conocimiento ................................................................. 51 2.8.

HERRAMIENTAS UTILIZADAS EN INFORMÁTICA FORENSE ................. 52

2.8.1. Evolución de las Herramientas de Investigación ................................................ 52 2.8.2. Clasificación de las herramientas para Informática forense ............................... 54 3.

MARCO CONCEPTUAL.......................................................................................... 56 3.1.

EVIDENCIA DIGITAL ........................................................................................ 56

3.1.1.

Clasificación de la evidencia digital ............................................................... 57

3.1.2.

Criterios de admisibilidad............................................................................... 57

3.2.

DELITOS INFORMÁTICOS ................................................................................ 59

3.2.1.

Incidente ......................................................................................................... 59

3.2.2.

Evento ............................................................................................................. 60

3.2.3.

Riesgo ............................................................................................................. 60

3.2.4.

Características de los delitos informáticos ..................................................... 61

3.2.5.

Tipos de delitos informáticos ......................................................................... 61

3.3.

TIPOS DE ATACANTES ..................................................................................... 64

3.3.1.

Hackers ........................................................................................................... 64

3.3.2.

Crackers .......................................................................................................... 64

3.3.3.

Lamers ............................................................................................................ 65

5

3.3.4.

Copyhackers ................................................................................................... 65

3.3.5.

Bucaneros ....................................................................................................... 65

3.3.6.

Phreaker .......................................................................................................... 66

3.3.7.

Newbie ............................................................................................................ 66

3.3.8.

Cript Kiddie .................................................................................................... 66

3.4.

TIPOS DE ATAQUES .......................................................................................... 66

3.4.1.

Sujeto activo ................................................................................................... 67

3.4.2.

Sujeto pasivo .................................................................................................. 67

3.4.3.

Ingeniería social .............................................................................................. 68

3.4.4.

Ingeniería social inversa ................................................................................. 68

3.4.5.

Shoulder Surfing ............................................................................................. 68

3.4.6.

Ataques de autenticación ................................................................................ 68

3.4.7.

Diccionarios .................................................................................................... 68

3.4.8.

Negación de Servicio (DENIAL OF SERVICE, DoS) .................................... 69

3.4.9.

Ataques de modificación-daño ....................................................................... 69

3.4.10.

Errores de diseño, implementación y operación ......................................... 69

4. MARCO CONTEXTUAL ............................................................................................. 70 4.1. ASPECTOS GENERALES DE LA CIUDAD DE PEREIRA .............................. 70

6

4.2.

SITUACIÓN DE COLOMBIA Y DE LA CIUDAD DE PEREIRA EN

RELACIÓN A LOS DELITOS INFORMÁTICOS ......................................................... 72 4.3.

LABORATORIOS DE INFORMÁTICA FORENSE EN COLOMBIA .............. 75

4.4.

PROYECTOS RELACIONADOS ........................................................................ 75

4.4.1.

Noticias relacionadas con los delitos informáticos......................................... 76

5. MARCO LEGAL ............................................................................................................ 80 5.1. LEGISLACIÓN NACIONAL ............................................................................... 80 5.2.

MARCO NORMATIVO DE LA CADENA DE CUSTODIA ............................. 83

5.3.

LEGISLACIÓN INTERNACIONAL ................................................................... 85

5.3.1. 5.4.

6.

7.

Organizaciones internacionales ...................................................................... 90

CUESTIONES TÉCNICAS Y LEGALES DE LA INFORMÁTICA FORENSE 92

5.4.1.

Problemas para la aceptación de las evidencias digitales ............................... 92

5.4.2.

Peritaje Informático ........................................................................................ 93

MARCO METODOLÓGICO ................................................................................... 95 6.1.

TIPO DE INVESTIGACIÓN ................................................................................ 95

6.2.

DISEÑO DE INVESTIGACIÓN .......................................................................... 96

6.3.

FUENTES DE INFORMACIÓN .......................................................................... 97

PROPUESTA .............................................................................................................. 98

7

7.1.

INSTALACIONES ................................................................................................ 99

7.1.2.

Despliegue de infraestructura en el interior de laboratorio ............................ 99

7.1.3.

Condiciones ambientales .............................................................................. 100

7.1.4.

Mantenimiento de Equipo e Instalaciones .................................................... 101

7.2.

HERRAMIENTAS Y EQUIPOS INFORMÁTICOS ...................................... 102

7.2.1.

Hardware ...................................................................................................... 102

7.2.2.

Software ........................................................................................................ 103

7.2.3.

Materiales de referencia................................................................................ 105

7.3.

LOCALIZACIÓN ................................................................................................ 105

7.4.

PROCEDIMIENTOS........................................................................................... 105

7.5.

ORGANIZACIÓN INTERNA DEL LABORATORIO ...................................... 106

7.5.1.

Requerimientos legales ................................................................................. 106

8.

PRESUPUESTO ....................................................................................................... 107

9.

CRONOGRAMA ...................................................................................................... 108

10. PRESUPUESTO DE PERSONAL .......................................................................... 109 11. CONCLUSIONES .................................................................................................... 110 12. GLOSARIO............................................................................................................... 111 13. BIBLIOGRAFÍA ...................................................................................................... 115

8

TABLA DE ILUSTRACIONES Ilustración 1: Etapas del modelo del U.S. Dep.of Justice 2001............................................ 35 Ilustración 2: Fase de identificación ..................................................................................... 40 Ilustración 3: Fase de Preservación ...................................................................................... 40 Ilustración 4: Fase de análisis ............................................................................................... 41 Ilustración 5: Fase de documentación y presentación de las pruebas................................... 42 Ilustración 6: Secuencia de la cadena de custodia ................................................................ 43 Ilustración 7: Evidencia electrónica ..................................................................................... 44 Ilustración 8: Evidencia Digital ............................................................................................ 44 Ilustración 9: Localización geográfica de Pereira ................................................................ 70 Ilustración 10: Porcentaje de ocurrencia de delitos informáticos en América latina ........... 73 Ilustración 11: Aumento de delitos informáticos en Colombia en los últimos años ............ 74 Ilustración 12: Proceso de investigación .............................................................................. 97 Ilustración 13: Flujo de Trabajo en el Laboratorio Informatico ......................................... 106

9

RESUMEN Este proyecto tiene como propósito principal establecer la viabilidad de implementar un Laboratorio de Informática Forense en la ciudad de Pereira, para ello se realizó una muy completa y profunda investigación bibliográfica de la literatura que era relevante para este proyecto: forense digital, informática forense, evidencia digital, cadena de custodia, metodologías, procesos y herramientas utilizadas en informática forense. Cada uno de estos temas fue conceptualizado y expuesto de forma detallada, para dar una idea completa de cada uno de los procesos y técnicas que se implementarían dentro del Laboratorio, así como de su adecuado funcionamiento. De igual forma, se llevó a cabo una revisión de los datos y cifras obtenidos de diferentes fuentes gubernamentales, para establecer la situación de Colombia y del departamento de Risaralda en lo referente a delitos informáticos, obteniendo como conclusión que estos van en aumento y que los medios de los que disponen las autoridades y la justicia penal no son suficientes para detener este crecimiento o por lo menos para enfrentarlos adecuadamente. Desde este punto de vista, la creación de un Laboratorio de Informática Forense que apoye la judicialización de estos delitos se hace entonces necesaria. Estructuralmente este proyecto consta de tres partes: en la primera, se formula y describe el problema, se exponen la justificación y objetivos del proyecto, así como sus beneficios, alcances y justificaciones. La segunda parte es el marco referencial, en el cual se exponen todas las teorías, métodos y conceptos relacionados con el tema de la informática forense, al igual que se describen el contexto y el marco legal en el cual gira el proyecto. Por último, en la tercera parte se describe el proceso de investigación por medio del cual se elaboro esta propuesta. Palabras claves: informática forense, seguridad informática, evidencia digital, cadena de custodia, forensia digital, delitos informáticos.

ABSTRACT This project has as main purpose to establish the feasibility of implementing a Computer Forensics Laboratory in the city of Pereira , to do a complete and thorough literature search of the literature was relevant for this project was conducted : digital forensics , computer forensics, evidence digital, chain of custody , methodologies, processes and tools used in computer forensics. Each of these issues was conceptualized and discussed in detail , to give a complete picture of each of the processes and techniques to be implemented within the laboratory , and its proper functioning .

10

Similarly, took out a review of the facts and figures obtained from different government sources, to establish the status of Colombia and the department of Risaralda regarding cybercrime , obtaining the conclusion that these are increasing and that the means at their disposal authorities and criminal justice are not enough to stop this growth, or at least to address them properly. From this point of view , the creation of a Computer Forensics Laboratory to support the prosecution of these crimes is then necessary . Structurally this project consists of three parts : the first , is formulated and described the problem , rationale and objectives of the project and its benefits , scope and justifications are presented . The second part is the frame of reference in which all theories , methods and concepts related to the topic of computer forensics are discussed , as described context and legal framework within which the project tour. Finally , in the third part the research process by which this proposal was drawn described . Keywords : computer forensics, computer security , digital evidence , chain of custody , digital forensics , cybercrime.

11

INTRODUCCIÓN A lo largo de los siglos XX y XXI las Tecnologías de la Información y la Comunicación (conocidas comúnmente como TIC) han evolucionado de forma increíble, hasta el punto que ya no hay un solo aspecto de la vida laboral, educativa y cotidiana de las personas donde no se requiera su aplicación. Paralelo a esta vertiginosa evolución, los sistemas informáticos van haciéndose cada vez más complejos, para así poder adaptarse a las nuevas necesidades de los usuarios. Sin embargo, este crecimiento implica debilidad, pues al estar interconectados por medio de una gran red como lo es Internet, aparecen elementos más vulnerables en lo referente a la seguridad informática, que no es otra cosa que la seguridad de la infraestructura, datos y servicios. En la actualidad todas las empresas e instituciones manejan la información en forma digital, por lo tanto, es de vital importancia la disponibilidad, confidencialidad y seguridad de la infraestructura informática, la cual incluye no solo a los computadores, servidores y demás tecnologías que operan dentro de la empresa, sino también, a todos los dispositivos móviles (celulares, cámara digitales, iPhones, tablets) en los que se almacene información importante. Desafortunadamente, así como las nuevas tecnologías han beneficiado a las empresas al optimizar todos sus procesos y hacer más eficientes sus recursos, este desarrollo tecnológico también ha sido usado para cometer delitos, algunos incluso no están tipificados por la legislación de cada país (tarea difícil puesto que cada día surgen nuevas prácticas delictivas y para la justicia es casi imposible moverse a este mismo ritmo), lo que impide que las autoridades tomen algún tipo de acción. Ahora bien, sucede que cuando se logra detectar un delito informático, las autoridades se enfrentan a miles de dificultades para encontrar pruebas que les permitan castigar a los delincuentes, pues como bien lo expresa Yuri V. López en su tesis Computación Forense: Una Forma de Obtener Evidencias para Combatir y Prevenir Delitos Informáticos “la tecnología y los medios para vulnerar cualquier sistema informático, son del mismo nivel de complejidad que los de protección del mismo, ya que tienen un origen tecnológico común” (Lopez Manrique, 2007). Las cifras sobre seguridad informática en el mundo son alarmantes. El Informe Norton revela que para el año 2013, aproximadamente cada segundo 18 adultos son víctimas de un delito informático. Este mismo año, el costo de la ciber-delincuencia fue de 133 mil millones de dólares. En Colombia, según este mismo informe, el costo total del crimen cibernético en el país fue de 873 mil 466 millones de pesos (colombiadigital.net, 2013).

12

En el caso específico de la ciudad de Pereira, aunque aún no se han publicado estadísticas respecto a la incidencia de delitos informáticos, en el Marco del Día Mundial de la Seguridad en Internet, el CTI de Risaralda también reportó el aumento de esta clase de delitos, asegurando que la mayor incidencia es de hurtos informáticos (RCN, 2014). Por tal motivo, ante el incremento de delitos informáticos en la región se hace necesario desarrollar mecanismos que ayuden tanto a recolectar información que permita judicializar a las personas responsables, como a evitar condenas a personas inocentes; mecanismos que aporten pruebas o evidencias en casos judiciales de cualquier índole y que permitan minimizar al máximo mediante asesorías, cualquier tipo de riesgo informático para una persona u organización. Se deduce también, la importancia de contar con un grupo de expertos en informática forense, que puedan llevar a cabo la extracción de evidencias electrónicas almacenadas en teléfonos celulares, cámaras digitales, servidores, equipos de cómputo, tablets y un sinfín de equipos que día tras día inundan los mercados del país. Toda esta información debe ser procesada en un lugar seguro y confiable que cuente con los más altos estándares de calidad a nivel mundial, buscando que la evidencia digital, que hoy en día toma un papel muy importante en los estrados judiciales del país, no sea alterada, sino por el contrario conserve la integridad de los datos; todo ello debido a que la mayoría de los litigios llevan un componente tecnológico, sin importar el ámbito en el que se está desenvolviendo la investigación (Procesos: civiles, familiares, mercantiles, penales, entre otros). En la mayoría de los casos un buen informe (Dictamen pericial) es crucial para el dictamen de un proceso, no obstante, también es importante prestar servicios de asesoría a abogados o firmas de abogados que necesiten apoyo para defender a sus clientes o ejercer procesos de demandas donde la evidencia digital se hace presente. Se propone entonces la creación de un sofisticado laboratorio de informática forense, que cuente con tecnología de punta y que permita disponer, en la región, de un sitio para llevar a cabo procesos de identificación, preservación y análisis de la evidencia digital, salvaguardando todo tipo de información necesaria para un proceso, en, el cual, mediante personal altamente calificado se pueda dar una respuesta científica y correcta de la evidencia analizada. A su vez, este proyecto pretende contribuir como material de apoyo para futuras propuestas y también como medio de generar conciencia del buen uso de los elementos informáticos en las personas, en las empresas (pequeñas, medianas y grandes) de la región o del país, para de esa forma, mitigar al máximo los riesgos a los que se enfrenten.

13

1. EL PROBLEMA DE INVESTIGACIÓN 1.1.

ANTECEDENTES

La tecnología está avanzando a pasos agigantados, y con ella la forma en que se mueve el mundo. Hoy en día toda la información de las empresas e instituciones, e incluso de los pequeños negocios, es almacenada en computadores de manera automática, a diferencia de otras épocas en donde la información se almacenaba de manera manual y en papel. Esto por supuesto conlleva a cierto tipo de ventajas y también de desventajas. Las ventajas son obvias y por lo mismo, difíciles de enumerar; van desde una mayor facilidad en el manejo de la información, mayor rapidez en la recolección y análisis de la misma, alta disponibilidad tanto en tiempo como en localidad, hasta la inmediata y permanente comunicación con todos los componentes y áreas de la empresa. Sin embargo, las desventajas y riesgos en los que se incurre no son tan evidentes. Entre ellos, la vulnerabilidad de la información a ser borrada, la fácil replicación de la información, la explotación de la información por vulnerabilidades en el sistema. En las empresas el desarrollo de nuevas tecnologías relacionadas con la forma de almacenar la información y con los dispositivos que permiten acceder a ella y a la nueva clase de comunicaciones, han revolucionado total y definitivamente su forma de operar, permitiendo llevar a otro nivel los negocios, las transacciones, la administración de las entidades, las comunicaciones y el almacenamiento de información en lugares físicamente alejados de las empresas. Por desgracia, esta evolución tecnológica también ha sido aprovechada por personas inescrupulosas y malintencionadas, que utilizan la nueva gama de herramientas tecnológicas para fines incorrectos, como lo son los delitos informáticos (que se definirán y tipificaran más adelante), valiéndose muchas veces de que la información queda almacenada en forma digital pudiendo sustraerla y manipularla de manera errónea. Cuando pasa una situación de este tipo se presenta un problema, debido a que los computadores guardan la información que puede servir como evidencia de forma tal que no puede ser recolectada por medios comunes, sino que se requiere de la utilización de mecanismos diferentes a los tradicionales. Es de aquí que surge la informática forense como una ciencia relativamente nueva, que permite el esclarecimiento de este tipo de delitos por medio de su aplicación. Se aclara que cuando se habla de información, no solo se hace referencia a datos y cifras, sino también a archivos de toda clase, incluyendo, fotos, contactos, imágenes, música, juegos y todo aquello que se considere importante, tanto para una empresa, como para una persona en particular; pues valga decir que no solo las instituciones corren el riesgo de ser

14

objetivo de delitos informáticos, cualquier persona puede ser vulnerable, siempre y cuando posea algún dispositivo tecnológico. Ahora bien, con el riesgo corren las empresas, y así mismo la personas, al manejar información, se debe buscar una forma de garantizar su seguridad y protección dentro de los dispositivos tecnológicos en los cuales se almacena. La informática forense hace entonces su aparición como una disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así como para garantizar la verdad alrededor de la evidencia digital que se pude aportar en un proceso. Se denomina Informática Forense a “la práctica especializada de investigar datos de un computador o dispositivo electrónico, con el propósito de descubrir y analizar información disponible, borrada u oculta que pueda ser usada como evidencia en un proceso legal" (www.slideshare.net). La Informática Forense se puede usar en muchas situaciones para descubrir evidencia potencial en una variedad de delitos, incluyendo: delitos contra la propiedad intelectual y espionaje industrial, lavado de dinero vía transferencia de fondos por internet, acoso sexual, chantaje o amenazas, corrupción, destrucción de información confidencial, fraude, pornografía en todas sus formas, etc. La lista de delitos informáticos es bastante extensa, y lo más grave es que a medida que evoluciona la tecnología crece un poco más.

1.2.

FORMULACIÓN DEL PROBLEMA

Ante los grandes avances tecnológicos que se han generado en las últimas décadas, especialmente en el campo de las telecomunicaciones, se puede ver como el interés y la inteligencia de ciertas personas, las ha llevado a desarrollar una gran variedad de productos y servicios que hacen más cómoda la vida de todos y más eficiente el entorno de trabajo. Sin embargo, hay otras personas que decidieron utilizar sus conocimientos y habilidades en el manejo de las nuevas tecnologías, para idear nuevas formas de cometer delitos y de engañar a sus semejantes. Cuando se hace un uso indebido de cualquier medio informático, esto se conoce con el nombre de delito informático. Debido a la gran variedad de formas que toman estos delitos, se ha hecho necesaria una re-estructuración en el sistema penal de la mayoría de países y claro está, Colombia no es la excepción. El proceso de modernización en nuestro país no se ha hecho esperar, y aunque aún no se esté a la par de las grandes potencias, paulatinamente se ha logrado la masificación y popularización de las nuevas tecnologías, en gran parte, gracias a las estrategias del gobierno nacional y también del sector privado, para reducir la gran brecha digital que existe en nuestro país, y hacer de las TIC o en algunos casos conocidas como también como las NTIC (Nuevas Tecnologías de la Información y la Comunicación), parte fundamental de la población, de modo que ayuden en el progreso de la región y mejoren la calidad de vida de todos los colombianos. El uso de este tipo de tecnologías se ha hecho muy

15

frecuente en la sociedad actual, así mismo el incremento de procesos penales en donde las TIC forman parte crucial para obtener pruebas/evidencias en los distintos casos. Hoy en día la mayoría de los colombianos, así como todas las empresas e instituciones públicas y privadas del país, usan los computadores (y otros dispositivos electrónicos, como celulares, iPhones, tablets, etc.,) para comunicarse, trabajar, estudiar, e incluso como forma de entretenimiento, a tal punto que estas tecnologías se convierten en una extensión de sí mismas (en el peor de los casos, se generan dependencias tan extremas que se necesita ayuda profesional para superarlas). Es por esta misma razón que los dispositivos electrónicos, computadores y celulares en la mayoría de los casos, contienen información de gran importancia que, llegado el caso de haber sido utilizados para actividades ilícitas, puede utilizarse como prueba o evidencia en procesos de tipo legal, tanto en materia penal como civil. Las pruebas o evidencias contenidas en estos medios pueden ser enormes, desde correos electrónicos, hasta fotografías y documentos confidenciales. Lo más importante es que esas pruebas, o evidencias digitales como se les llama en el ámbito de la informática forense, pueden recuperadas del computador o dispositivo donde se sospecha que están almacenadas, aunque el dueño o usuario del equipo haya borrado la información, desfragmentado el disco o formateado el equipo. Tampoco importa el tiempo que haya pasado desde el momento de borrarla a la época en que se realiza la investigación, e incluso pudo no haber sido guardada en el equipo y aun así, estar presente en el disco duro. Colombia al lograr un enorme desarrollo tecnológico, experimenta una amplia variedad de delitos informáticos y la ciudad de Pereira no se queda atrás al ser, hoy en día, una de las más importantes del país. Obviamente, como nadie está libre de ser víctima de este tipo de delitos, pues afectan a todos los sectores de la población, desde empresarios hasta ciudadanos comunes, se hace necesario encontrar medios para combatirlos y enfrentarlos, y así como la prevención es importante, también lo es tomar acciones correctivas cuando el problema ya se ha presentado y encontrar a los responsables. Esta es una de las razones por las cuales el término informática forense toma gran valor, pues no sólo se utiliza para resolver delitos informáticos, sino que también sirve como base para resolver cualquier tipo de situación (delito o no) en donde se haya visto involucrado algún tipo de dispositivo electrónico, como pueden ser celulares, computadores, cámaras digitales, videograbadores, tablets, entre otros. Teniendo en cuenta todo lo anteriormente descrito, se evidencia la necesidad de contar, en el eje cafetero, con un laboratorio de informática forense que cumpla con todas las exigencias del mercado en este campo y donde se pueda realizar un análisis científico de la evidencia digital que se presente en el desarrollo de cualquier proceso penal. Es necesario aclarar que en la región ya existe un laboratorio de esta clase, el laboratorio de Informática Forense del CTI seccional Pereira el cual, por ser una entidad adscrita a la Fiscalía General de la Nación, solo es usado por las autoridades judiciales, generalmente con el fin de reunir pruebas para judicializar a los acusados, mientras que la defensa y las víctimas de este tipo

16

de delitos deben dirigirse a otras ciudades para obtener los servicios de un laboratorio especializado.

1.3.

JUSTIFICACIÓN

Antes de iniciar la sustentación de este proyecto se aclara que se establecerá la justificación de dos formas: para el proceso de investigación en sí mismo, que demostrará la necesidad de investigar el tema al cual hace referencia el proyecto y otra, que definirá la importancia de llevarlo a cabo. Para justificar la realización de una investigación que establezca la factibilidad de implementar un Laboratorio de Informática Forense en la ciudad de Pereira, se tomaran en cuenta tres aspectos: teórico, metodológico y práctico. Desde el punto de vista teórico, se establece la importancia de realizar esta investigación por su aporte a un tema de gran de gran actualidad y enorme preocupación para los gobiernos de todos los países, que se ven afectados por el aumento de las estadísticas de ciber-delincuencia y los desastrosos efectos que esto provoca en la estabilidad económica, por no hablar de la confianza de las personas. Un estudio sobre informática forense permitirá dimensionar el alcance de dicha ciencia, dando a conocer sus características, sus alcances, los métodos que emplea y las herramientas utilizadas para llevar a cabo todos los procesos de recolección y tratamiento de la información (pruebas o evidencias); al mismo tiempo, se podrá establecer la importancia de crear instrumentos de control y prevención por parte de las empresas, para que conserven y protejan su recurso más importante: la información. En el aspecto metodológico, un proceso investigativo, consistente y estructurado, realizado de forma ordenada, permitirá llegar a conclusiones precisas y confiables, que permitirán entender los numerosos aspectos que se relacionan con el proceso de análisis forense en dispositivos electrónicos. Para el adecuado desarrollo de esta investigación, se estudiaran variedad de fuentes bibliográficas, para obtener toda la información necesaria que permita establecer la pertinencia de llevar a cabo esta propuesta. Por último, en el aspecto práctico, este proyecto es importante por cuanto redundara en beneficios para la comunidad, pues se trata de implementar un Laboratorio de Informática Forense que atienda a todos los usuarios del departamento de Risaralda (y de cualquier otro) que hayan sido víctimas de delitos informáticos y deseen encontrar a los culpables, también para aquellos que hayan sido acusados inocentemente y necesiten pruebas para demostrarlo. Como ya se mencionó antes el único laboratorio de este tipo en la ciudad de Pereira, pertenece a la Fiscalía General de la Nación, motivo por el cual, los abogados de la defensa

17

en un caso penal deben recurrir a laboratorios informáticos de otras ciudades para el análisis de información en procesos penales, lo cual incrementa los costos para los usuarios del sistema. A continuación se resumen las razones por las que se justifica esta propuesta:       

Las estadísticas de delitos informáticos en Colombia y en la ciudad de Pereira muestran que cada día más personas son víctimas de la ciber-delincuencia, indicando que hacen falta herramientas para corregir esa situación. Las investigaciones también demuestran que a los abogados, tanto defensores como acusadores, se les dificulta proceder en casos de delitos informáticos, por la poca información al respecto y la falta de herramientas adecuadas. La creación del laboratorio beneficiara a la población risaraldense, evitando que tengan que desplazarse a otras ciudades, para obtener este tipo de servicios y por lo tanto, disminuyendo los costos. La implementación del laboratorio aumentara las herramientas para judicializar a quienes cometan delitos informáticos y a la vez, disminuirán las probabilidades de condenar a personas inocentes. Se generara una nueva fuente de empleo. Se facilitara la resolución de procesos judiciales. Se ofrecerá asesoría a empresarios, comerciantes y cualquier entidad o persona que desee asegurar su información.

1.4.

OBJETIVOS

1.4.1. Objetivo General Realizar un estudio de viabilidad técnica para la implementación de un laboratorio de informática forense en el eje cafetero que cumpla con las normas nacionales e internacionales más utilizadas en este campo. 1.4.2. Objetivos específicos    

Establecer la necesidad de la región de contar con un laboratorio de informática forense. Consultar las principales herramientas utilizadas en informática forense. Examinar los modelos de análisis forense en esta disciplina en la actualidad. Estimar la viabilidad legal para la creación y puesta en marcha del laboratorio.

18

1.5.

ALCANCES Y LIMITACIONES DEL PROYECTO

Los alcances y limitaciones de un proyecto indican con precisión que se puede esperar del mismo y los aspectos que quedan fuera de su cobertura. Los alcances de este proyecto son: 

 

Se elaborara un documento que sirva de referencia y consulta para cualquier persona o entidad (pública o privada) que esté interesada en conocer e investigar acerca de la informática forense, o que pretenda implementar un laboratorio especializado en esta ciencia. Se determinara la viabilidad del proyecto expuesto, indicando infraestructura física, humana y técnica para la implementación del mismo. Se analizara la situación de Colombia y de la ciudad de Pereira en el ámbito de los delitos informáticos y/o el uso de tecnología para la disminución de este tipo de delitos.

Las limitaciones que se presentan para la elaboración del proyecto son:   

Pocos estudios e investigaciones relacionadas con el tema de la informática forense, aplicados en Colombia. Falta de guías acerca de informática forense elaboradas en español. La falta de apoyo económico para la realización de la propuesta.

1.6.

BENEFICIOS DEL PROYECTO

Con este proyecto y posteriormente con creación y puesta en marcha del laboratorio de informática forense, se obtienen los siguientes beneficios concretos:  



Científicos o Aumento de los conocimientos en el área de la informática forense. Sociales o Facilitar la resolución de procesos judiciales o Apoyar la judicialización de ciber-delincuentes, acosadores cibernéticos, extorsionistas, terroristas, entre otros o Disminuir las posibilidades de castigar a personas inocentes al proveer de mejores herramientas a la defensa en sus procesos o Proteger a los niños, niñas y adolescentes de los delincuentes cibernéticos o Disminuir los costos de acceso a servicios de informática forense Humanos o Mejoramiento de la calidad de vida en general de los habitantes de Pereira, al disminuir los delitos informáticos

19



o Mejoramiento de la calidad de vida de las personas que trabajen en el laboratorio Técnicos o Generar un modelo organizacional y operativo para la implementación de un laboratorio de informática forense.

20

2. MARCO TEÓRICO 2.1.

ANTECEDENTES DE LA INVESTIGACIÓN

La información es hoy en día el recurso más valioso de las empresas y de las personas en general; desafortunadamente, a medida que aumentan los avances tecnológicos y los medios para almacenar mayor y mas diversidad de ella, esas mismas personas y empresas se hacen más vulnerables a las fallas, ya sea de tipo humano, procedimental o tecnológico, ofreciendo un escenario perfecto para que se cultiven tendencias relacionadas con intrusos informáticos. Estos intrusos poseen diferentes motivaciones, alcances y estrategias que desconciertan a analistas, consultores y cuerpos de especiales de investigaciones, pues sus modalidades de ataque y penetración de sistemas varían de un caso a otro (SUNDT, 2006). Es por esto que nace la informática forense, una disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así como para garantizar la verdad alrededor de la evidencia digital que se puede aportar a un proceso. La informática forense se encarga de investigar los procesos mediante los cuales se pudo haber cometido un crimen (ciber-crimen) utilizando los dispositivos electrónicos, con el fin de descubrir y analizar la información disponible, aun cuando esta haya sido suprimida u ocultada, y lograr que pueda ser usada como evidencia en un proceso legal. Desde este punto de vista, la informática forense adquiere cada vez mayor transcendencia, sobre todo si se tiene en cuenta que gracias a la masificación y popularización de las TIC, la información generalmente queda almacenada de forma digital. Mediante los procesos de la informática forense se identifican, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal; de la misma forma, mediante el uso de esta, podemos reconstruir hechos por medio de dispositivos electrónicos, en caso de mal uso de la tecnología (Perez, 2013). La informática forense, aplicando procedimientos estrictos y rigurosos, puede ayudar a resolver grandes crímenes, apoyándose en diferentes metodologías, llamadas metodologías forenses (de las que se hablara más adelante), que incluyen la captura segura de datos de medios digitales, llamadas evidencias digitales, sin alterar la información de origen. Cabe aclarar que la informática forense no se utiliza solo para investigar crímenes tecnológicos (como el ingreso no autorizado a una red o la distribución de material ilegal), también se puede usar para investigar cualquier situación donde se haya utilizado un dispositivo electrónico y este pueda tener alguna evidencia almacenada. A través de las siguientes páginas se pretende ofrecer un panorama general de esta especialidad, para conocer sobre sus características, objetivos, fundamentos generales y

21

bases de actuación; para todo lo cual se iniciara con un breve resumen sobre su origen y evolución. 2.1.1. Historia de la Informática Forense Ya desde los años setenta, las pruebas extraídas de un computador se admiten como prueba en un juicio, pero en estos equipos no se consideraban más que como un dispositivo para almacenar y reproducir registros de papel, que sí constituían la evidencia real. Las versiones impresas de registros de contabilidad eran aceptadas como el equivalente de expedientes de negocio conservados en mano o escritos a máquina, pero no se contaba con los datos almacenados en el computador (Arquillo Cruz, 2006). El análisis informático forense es una ciencia relativamente nueva, por lo que aún no hay estándares aceptados a nivel mundial (actualmente cada país escoge su propia metodología forense). Sus orígenes se remontan a los Estados Unidos a mediados de los años ochenta, donde se evidenció un crecimiento alarmante en los crímenes relacionados con computadores. Por tal motivo, este país comenzó a desarrollar programas de adiestramiento y a construir su propia infraestructura para ocuparse de este tipo de problemas. Estas iniciativas derivaron en centros como SEARCH, Federal Law Enforcement Center (FLETC), y el National White Collar Crime Center. En 1985 se crea el FBI Magnetic Media Program, que más tarde pasa a ser el Computer Analysis and Response Team (CART) En 1990, el Laboratorio de Inspección Postal de los Estados Unidos se traslada a una nueva instalación en Dulles, Virginia, y entre 1996 y 1997 establece una unidad de Informática Forense. Trabaja junto con el FBI durante muchos años en el desarrollo de sus habilidades en informática forense. En 1993 se celebra la primera conferencia anual sobre evidencias de computadoras (First International Conference on Computer Evidence). En 1994, el juicio de O.J. Simpson expuso muchas de las debilidades de la investigación criminal y las ciencias forenses. La investigación fue entorpecida desde el inicio con colecciones de evidencias, documentación y preservación de la escena del crimen incompletas. Como resultado de estos errores iniciales, científicos forenses especializados estaban confundidos y sus interpretaciones solo incrementaron la duda de los miembros del jurado. La controversia que rondaba este caso puso de manifiesto que investigadores y científicos forenses no eran fiables como previamente se creía, socavando no solo su credibilidad sino también su profesión. Esta crisis motivó a muchos laboratorios y agencias de investigación a revisar sus procedimientos, mejorar su entrenamiento y hacer otros cambios para evitar situaciones similares en el futuro.

22

Por esa época hubo muchos desarrollos notables hacia la estandarización en este campo. Se fundó la Organización Internacional de Evidencias de Computadoras a mediados de los noventa que anunció “asegurar la armonización de métodos y prácticas entre naciones y garantizar el uso de evidencias digitales de un estado en las cortes de otro estado”. En España se crea en 1995 la Brigada de Investigación Tecnológica, perteneciente al Cuerpo Nacional de Policía. Comenzaron con tres agentes de policía. En 1997, los países del G81 declararon que “la policía debe estar adiestrada para hacer frente a delitos de alta tecnología” en el Comunicado de Moscú de diciembre. En marzo del año siguiente, el G8 designa al IOCE2 para crear principios internacionales para los procedimientos relacionados con la evidencia digital. Ese mismo año se crea el Grupo de Delincuencia Informática de la Guardia Civil, que pasó a llamarse Grupo de Investigación de Delitos de Alta Tecnología antes de tomar su nombre actual de Grupo de Delitos Telemáticos. Los directores del Laboratorio Federal de Crímen en Washington, DC, se reunieron dos veces en 1998 para discutir asuntos de interés mutuo. Se formó lo que es ahora conocido como el Scientific Working Group Digital Evidence (SWGDE). El concepto de encontrar “evidencias latentes en una computadora” se pasó a llamar informática forense. El concepto de evidencia digital, que incluye audio y video digital se llevó ante los directores del laboratorio federal en marzo de 1998, en un encuentro albergado por Servicio de Inspección Postal de los Estados Unidos y la División de Servicios Técnicos. La primera discusión se centraba principalmente en la fotografía digital. El resultado de esa reunión fue que se necesitaba personal experto para abordar el tema, por lo que e12 de mayo de ese año se reunieron de nuevo con expertos del FBI y de otros grupos especializados en el tema. De ese encuentro surgió la formación de otro grupo de trabajo técnico para tratar los asuntos relacionados con la evidencia digital. El 17 de Junio de 1998, el SWGDE celebra su primer encuentro, dirigido por Mark Pollitt, agente especial del FBI y Carrie Morgan Whitcomb, del departamento forense del Servicio de Inspección Postal de los Estados Unidos. Como laboratorios forenses invitados estuvieron los del Departamento de Alcohol, Tabaco y Armas de Fuego (ATF), el Departamento de Control de Drogas (DEA), Inmigración (INS), Hacienda(IRS), la NASA, los Servicios Secretos(USSS) y el servicio de Inspección Postal. Decidieron algunos procedimientos administrativos y desarrollaron documentos relevantes. Se establece que “La evidencia digital es cualquier información de valor probatorio que es almacenada o transmitida en formato binario”. Más tarde “binario” cambió a “digital”. Ésta incluye hardware, audio, video, teléfonos móviles, impresoras, etc. Ese mismo año se celebra el primer Simpósium de ciencia forense de la INTERPOL. 1

Grupo informal de países del mundo cuyo peso político, económico y militar es tenido por relevante a escala global. Conformado por Alemania, Canadá, Estados Unidos, Francia, Italia, Japón, Reino Unido, Rusia y algunos países de la Unión Europea. 2 Siglas en ingles de la Organización Internacional para la Cooperación en Evaluación.

23

En 1999, la carga de casos del FBI CART excede los 2000 casos, habiendo, examinado 17 terabytes de datos. El IOCE presenta un borrador con estándares sobre informática forense al G8. En el año 2000 se establece el primer laboratorio de informática forense regional del FBI. En 2001, se realizó el primer taller de investigación forense digital –Digital Forensics Research Work Shop, reuniendo a los expertos de universidades, militares y el sector privado para discutir los retos principales y buscar las necesidades de este campo. Este taller también impulsó una idea propuesta muchos años atrás, provocando la creación de la Publicación Internacional de Evidencias Digitales -International Journal of Digital Evidence . El rápido desarrollo de la tecnología y los crímenes relacionados con computadoras crean la necesidad de especialización:  Técnicos de escena de crimen digital: expertos en recogida de datos de una escena del crimen. Deberían tener entrenamiento básico en manejo de evidencias y documentación, así como en reconstrucción básica del crimen para ayudarles a ubicar todas las fuentes posibles de evidencias.  Analistas de Evidencias Digitales: procesan la evidencia adquirida por los anteriores para extraer todos los datos posibles sobre la investigación.  Investigadores digitales: analizan todas las evidencias presentadas por los dos anteriores para construir un caso y presentarlo ante los encargados de tomar las decisiones. Estas especializaciones no están limitadas solamente a los agentes de la ley y se han desarrollado también en el mundo empresarial. Aún cuando una sola persona sea responsable de recopilar, procesar y analizar las evidencias digitales, es útil considerar estas tareas por separado. Cada área de especialización requiere diferentes habilidades y procedimientos; tratándolos por separado hace más fácil definir el adiestramiento y los estándares en cada área. Entendiendo la necesidad de estandarización, en 2002, el SWGDE publicó unas líneas generales para el adiestramiento y buenas prácticas. Como resultado de estos esfuerzos, la American Society of Crime Laboratory Directors (ASCLD) propuso requerimientos para los analistas forenses de evidencias digitales en los laboratorios. Hay además algunos intentos de establecer estándares internacionales (ISO 17025; ENFSI 2003). A finales del año 2003 y respondiendo al creciente interés del análisis forense de intrusiones en computadoras, se propone el primer Reto de Análisis Forense por parte de Rediris, en el cual se publica la imagen de un disco duro que ha sufrido un incidente de seguridad y se reta a responder a las siguientes preguntas:

24



¿Quién ha realizado el ataque?, (dirección IP de los equipos implicados en el ataque)  ¿Cómo se realizo el ataque? (Vulnerabilidad o fallo empleado para acceder al sistema)  ¿Qué hizo el atacante? (Que acciones realizo el atacante una vez que accedió al sistema, ¿por qué accedió al sistema?). Al final 14 personas enviaron el informe a Rediris de los casi 500 que se presentaron, y los ganadores se llevaron licencias y manuales de software de Análisis Forense (valorados en miles de dólares). En el 2004 los Servicios de Ciencia Forense del Reino Unido planean desarrollar un registro de expertos cualificados, y muchas organizaciones Europeas, incluyendo la Red Europea de Institutos de Ciencia Forense publicaron líneas básicas para investigadores digitales. Además, Elsevier comenzó la publicación de una nueva revista llamada “Digital Investigation: The International Journal of Digital Forensics and Incident, Response”. A comienzos del 2005 se celebra el Reto Rediris v2.0, junto con la Universidad Autónoma de México. Se presentaron casi 1000 participantes y los premios fueron cursos de análisis forense y licencias de software. El segundo premio fue para uno de los ingenieros de la universidad de Granada. A mediados del 2006 se celebra el III Reto Rediris, en el cual había 3 premios para los mejores de España y 3 para los mejores de Iberoamérica (Arquillo Cruz, 2006).

2.2.

LA INFORMÁTICA FORENSE

Antes de entrar de lleno al tema de la informática forense, se comenzará por definir qué significan estos dos conceptos por separado. Informática es el conjunto de conocimientos científicos y métodos que permiten analizar, mejorar e implementar actualizaciones a la comunicación, envío y recepción de información a través de los ordenadores. Por otro lado, se tiene que forense es la aplicación de prácticas científicas dentro del proceso legal, es decir, existen investigadores altamente especializados o criminalistas, que localizan evidencias que sólo proporcionan prueba concluyente al ser sometidas a pruebas en laboratorios. Se entiende entonces que ciencia forense es la aplicación de prácticas científicas dentro del proceso legal; es decir, es un conjunto de ciencias que la ley usa para atrapar a un criminal, ya sea físicamente, química, matemáticamente u otras más (Beatriz, 2007).

25

La Informática Forense es el proceso de investigar dispositivos electrónicos o computadoras con el fin de descubrir y de analizar información disponible, suprimida, u ocultada que puede servir como evidencia en un asunto legal (Miranda, 2008). Por otra parte, para el FBI, la informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Otros autores definen la informática forense como la ciencia para investigar sistemas de información con el fin de detectar evidencias de vulnerabilidad en los mismos. La finalidad de la informática forense, para un ente que la requiera, es perseguir objetivos preventivos (anticipándose al posible problema) u objetivos correctivos (para una solución favorable una vez que la vulnerabilidad y las infracciones ya se han producido) (Ausejo Prieto, 2008). Alrededor de la informática forense se crean otros conceptos relacionados, algunos de ellos: Computación forense (computer forensics): disciplina de las ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso; o como la disciplina científica y especializada que entendiendo los elementos propios de las tecnologías de los equipos de computación ofrece un análisis de la información residente en dichos equipos. Forensia en redes (network forensics): es un escenario aún más complejo, pues es necesario comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento específico en el tiempo y un comportamiento particular. Esta conjunción de palabras establece un profesional que entendiendo las operaciones de las redes de computadores, es capaz, siguiendo los protocolos y formación criminalística, de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su acción. A diferencia de la definición de computación forense, este contexto exige capacidad de correlación de evento, muchas veces disyuntos y aleatorios, que en equipos particulares, es poco frecuente. Forensia digital (digital forensics): forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados, con el fin de apoyar a la administración de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, ¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto de la administración de la inseguridad informática.

26

También se habla de análisis forense en un sistema informático, definido como una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad. Dependiendo del punto de vista se van a encontrar diferentes tipos de análisis forense:  Análisis forense de sistemas: en este análisis se tratarán los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con los sistemas operativos: Mac OS, sistemas operativos de Microsoft (Windows 9X/Me, Windows 2000 server/workstation, Windows 2003 Server, Windows XP, Windows Vista, Windows 2008 Server, etc.), sistemas Unix (Sun OS, SCO Unix, etc.) y sistemas GNU/Linux (Debian, RedHat,Suse, etc.).  Análisis forense de redes: en este tipo se engloba el análisis de diferentes redes (cableadas, wireless, bluetooth, etc.).  Análisis forense de sistemas embebidos: en dicho tipo se analizaran incidentes acaecidos en móviles, PDA, etc. Un sistema embebido posee una arquitectura semejante a la de un ordenador personal (Rivas LOpez, 2008). Por lo general los términos análisis forense, computación forense, forensia digital, se toman como sinónimos de informática forense y, aunque esto no es del todo cierto como se puede ver en las definiciones, es aceptado universalmente pues tienen el mismo objetivo. 2.2.1. Objetivos de la Informática Forense A nivel general la informática forense tiene como objetivo recobrar los registros y mensajes de datos existentes dentro de un equipo informático, y si es necesario reconstruir los mismos con la finalidad de obtener información digital que pueda servir como prueba en un proceso judicial. Otros autores especifican un poco más y hablan de tres objetivos para la informática forense: 1. Crear y aplicar políticas para prevenir posibles ataques, y de existir antecedentes, evitar casos similares. 2. Perseguir y procesar judicialmente a los criminales. 3. Compensar daños causados por los criminales o intrusos. La informática forense busca encontrar y reconstruir el incidente que fue realizado con el fin de obtener que datos pudieran haber sido manipulados durante el mismo y lograr identificar su origen. Todo esto con fin de remediar el daño causado por el incidente y capturar al responsable para entablar un proceso judicial contra él. Valga resaltar que para que este objetivo se logre, es necesario el apoyo de los gobiernos con el fin de que existan leyes contra los delitos informáticos y que al momento de lograr identificarlos no se queden impunes los responsables. Los objetivos mencionados pueden verse divididos en los dos papeles que puede tomar la informática forense: preventivos y correctivos o reactivos. El primer objetivo entra en la

27

parte preventiva de ella, mientras que los objetivos restantes son cubiertos cuando se toman medidas reactivas y correctivas luego de un ataque. Para una mayor comprensión de los objetivos, es importante destacar los usos y aplicaciones de esta ciencia. 2.2.2. Campo de acción de la informática forense Existen varios usos de la computación forense (o informática forense), muchos de ellos provienen de la vida diaria, y no tienen que estar directamente relacionados con esta disciplina:  Prosecución Criminal: Evidencia incriminatoria que puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil.  Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la computación forense.  Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones.  Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial.  Mantenimiento de la ley: La computación forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva (Rivas LOpez, 2008). Para entender un poco mejor todo esto, se exponen algunos casos específicos en donde es de gran ayuda la informática forense: 





Existen visitantes no autorizados en las redes de las organizaciones, estos pueden ser internos o externos. Estos visitantes pueden tener conocimientos técnicos muy altos y esto los hará destructivos y los daños serán de muy alto costo, en algunas ocasiones en forma monetaria y otras en imagen. Para detectar la técnica que fue utilizada y el daño que causaron debe de hacerse uso de la computación forense. Los delitos informáticos son perpetrados en una variedad de formas. Los computadores son el objetivo o son utilizados para ejecutar el crimen, las huellas y pistas de estos delitos son almacenadas en forma digital. Para obtener la evidencia dejada es necesario hacer uso de la computación forense. Los fraudes ejecutados por medios tecnológicos merecen atención especial por el alto costo que estos representan para las organizaciones. Casi todos los fraudes utilizan una computadora y es en esta en donde queda almacenada la evidencia, por

28



lo que personal entrenado será necesario para llevar a cabo la investigación. Este personal debe tener conocimiento de computación forense. Otras instancias que requerirán de la computación forense incluyen el uso de Internet en forma inapropiada, el uso de correo electrónico en una forma no correcta, el uso del equipo en una red para un fin que no fue especificado u orientado, violación de políticas o procedimientos de seguridad, violaciones a los derechos de propiedad intelectual y alteraciones de los medios tecnológicos. Cualquier pista o evidencia será obtenida por medio de la computación forense.

Ahora bien, aunque se dice que la computación forense es una ciencia que se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial, el resultado de una investigación forense también puede determinar oportunidades de mejoramiento en los controles de los procesos de la organización, ya que el caso investigado pudo haberse facilitado por algunas debilidades de control. Se habla entonces de la función preventiva de la informática forense, desde la cual hay algunas medidas de control que se podrían implementar:      

Revisar, evaluar y reducir al mínimo necesario el número de funcionarios con acceso a transacciones que alteren la información. Implementar la doble intervención (supervisión) en la realización de las transacciones de cancelación. Segregación de funciones entre los funcionarios que realizan los ajustes al sistema y los que realizan cuadres. Monitoreo periódico de las transacciones de cancelación. Clarificar y detallar las funciones de las personas que laboran en el centro operativo. Reiterar a los funcionarios las normas sobre el manejo de las claves de acceso al sistema.

Estos son solo algunos de los campos de acción de la informática forense. En general, es una ciencia que se puede usar en toda situación en la cual intervenga un sistema informático o dispositivo electrónico, ya sea como fin o como medio, el cual puede ser utilizado como objeto de estudio y análisis, para de esta manera recolectar información que pueda ser utilizada en un juicio como medio probatorio. En conclusión, se habla de la utilización de la informática forense con una finalidad preventiva, en primer término. Como medida preventiva sirve a las empresas para determinar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes. Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas.

29

Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos. 2.2.3. Seguridad Informática e Informática Forense Se define seguridad informática como la rama de la informática en dónde se tiene como objetivo la protección de la infraestructura computacional, la información que se encuentra almacenada en algún medio informático y a los usuarios que deban interactuar con ella mediante la aplicación de diferentes estándares, reglas, procedimientos, leyes y herramientas que aseguren la disponibilidad, la confidencialidad y la integridad de la información. Como se ha mencionado antes, la informática forense, mediante el cumplimiento de distintas etapas, se encarga de recabar información, de poder procesarla para crear evidencia, de resguardarla en un lugar seguro y de llevar un control riguroso de las personas que han logrado acceso a la misma. La diferencia entre ambas ramas de la informática, radica en que la informática forense entra en escena cuando se produce algún incidente en alguna institución (en el ámbito privado o también el público) y se deba buscar una respuesta al mismo, ubicándola así bajo uno de los ítems principales de la seguridad computacional: el triángulo consiste en el análisis de vulnerabilidades, detección de intrusos en la red y la respuesta ante incidentes. 2.2.4. Gestión de la Evidencia Digital Según (Cano Marinez, 2006)para que la investigación forense tenga validez es necesario que cumpla con ciertas normas y leyes, ya sea a nivel legal o corporativo. En este sentido la ciencia forense provee de ciertas metodologías básicas que contemplan el correcto manejo de la investigación y de la información. La IOCE, publicó “Guía para las mejores prácticas en el examen forense de tecnología digital” (Guidelines for the best practices in the forensic examination of digital technology). El documento provee una serie de estándares, principios de calidad y aproximaciones para la detección prevención, recuperación, examinación y uso de la evidencia digital (que se definirá en el marco conceptual) para fines forenses. Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todo el proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentación en la corte. Su estructura es:

30

a) Garantía de calidad (enunciados generales de roles, requisitos y pruebas de aptitud del personal, documentación, herramientas y validación de las mismas y espacio de trabajo). b) Determinación de los requisitos de examen del caso. c) Principios generales que se aplican a la recuperación de la evidencia digital (recomendaciones generales, documentación y responsabilidad). d) Prácticas aplicables al examen de la evidencia de digital. e) Localización y recuperación de la evidencia de digital en la escena: precauciones, búsqueda en la escena, recolección de la evidencia y empaquetado, etiquetado y documentación. f) Priorización de la evidencia. g) Examinar la evidencia: protocolos de análisis y expedientes de caso. h) Evaluación e interpretación de la evidencia i) Presentación de resultados (informe escrito). j) Revisión del archivo del caso: Revisión técnica y revisión administrativa. k) Presentación oral de la evidencia. l) Procedimientos de seguridad y quejas. De toda esta estructura se puede rescatar en general 4 fases principales: 1. 2. 3. 4.

Recolección de la evidencia sin alterarla o dañarla. Autenticación de la evidencia recolectada para asegurar que es idéntica a la original. Análisis de los datos sin modificarlos. Reporte final.

Ya que con estas fases finaliza el proceso forense y es en las 4 que se pueden rescatar más información de lo que se haya hecho, gracias a esto se han podido rescatar o salvar cualquier tipo de situaciones en la vida que intenten hacer mal uso de ellas o hacer algún daño a la sociedad. A continuación se enuncian otras guías de mejores prácticas en computación forense, a nivel mundial: 2.2.4.1.

RFC 3227

El “RFC 3227: Guía Para Recolectar y Archivar Evidencia” (Guidelines for Evidence Collection and Archiving), escrita en febrero de 2002 por Dominique Brezinski y Tom Killalea, ingenieros del Network Working Group. Es un documento que provee una guía de alto nivel para recolectar y archivar datos relacionados con intrusiones. Muestra las mejores prácticas para determinar la volatilidad de los datos, decidir que recolectar, desarrollar la recolección y determinar cómo almacenar y documentar los datos. También explica algunos conceptos relacionados a la parte legal. Su estructura es:

31

a) Principios durante la recolección de evidencia: orden de volatilidad de los datos, cosas para evitar, consideraciones de privacidad y legales. b) El proceso de recolección: transparencia y pasos de recolección. c) El proceso de archivo: la cadena de custodia y donde y como archivar.

2.2.4.2.

Investigación en la Escena del Crimen Electrónico (Guía DoJ 1)

El Departamento de Justicia de los Estados Unidos de América (DoJ EEUU), publico “Investigación En La Escena Del Crimen Electrónico” (Electronic Crime Scene Investigation: A Guide for First Responders). Esta guía se enfoca más que todo en identificación y recolección de evidencia. Su estructura es: a) Dispositivos electrónicos (tipos de dispositivos se pueden encontrar y cuál puede ser la posible evidencia). b) Herramientas para investigar y equipo. c) Asegurar y evaluar la escena. d) Documentar la escena. e) Recolección de evidencia. f) Empaque, transporte y almacenamiento de la evidencia. g) Examen forense y clasificación de delitos. h) Anexos (glosario, listas de recursos legales, listas de recursos técnicos y listas de recursos de entrenamiento).

2.2.4.3.

Examen Forense de Evidencia Digital (Guía DoJ 2)

Otra guía del DoJ EEUU, es “Examen Forense de Evidencia Digital” (Forensic Examination of Digital Evidence: A Guide for Law Enforcement) [FoEx04]. Esta guía esta pensada para ser usada en el momento de examinar la evidencia digital. Su estructura es: a) Desarrollar políticas y procedimientos con el fin de darle un buen trato a la evidencia. b) Determinar el curso de la evidencia a partir del alcance del caso. c) Adquirir la evidencia. d) Examinar la evidencia. e) Documentación y reportes. f) Anexos (casos de estudio, glosario, formatos, listas de recursos técnicos y listas de recursos de entrenamiento).

32

2.2.4.4.

Computación Forense - Parte 2: Mejores Prácticas (Guía Hong Kong)

El ISFS, Information Security and Forensic Society (Sociedad de Seguridad Informatica y Forense) creada en Hong Kong, publico “Computación Forense - Parte 2: Mejores Practicas” (Computer Forensics – Part 2: Best Practices). Esta guía cubre los procedimientos y otros requerimientos necesarios involucrados en el proceso forense de evidencia digital, desde el examen de la escena del crimen hasta la presentación de los reportes en la corte. Su estructura es: a) b) c) d) e) f)

Introducción a la computación forense. Calidad en la computación forense. Evidencia digital. Recolección de Evidencia. Consideraciones legales (orientado a la legislación de Hong Kong). Anexos.

2.2.4.5.

Guía De Buenas Prácticas Para Evidencia Basada En Computadores (Guía Reino Unido)

La ACPO, Association of Chief Police Officers (Asociación de Jefes de Policía), del Reino Unido mediante su departamento de crimen por computador, publico “Guía de Buenas Prácticas para Evidencia basada en Computadores” (Good Practice Guide For Computer Based Evidence). La policía creó este documento con el fin de ser usado por sus miembros como una guía de buenas prácticas para ocuparse de computadores y de otros dispositivos electrónicos que puedan ser evidencia. Su estructura es: a) b) c) d) e) f)

Los principios de la evidencia basada en computadores. Oficiales atendiendo a la escena. Oficiales investigadores. Personal para la recuperación de evidencia basada en computadores. Testigos de consulta externos. Anexos (legislación relevante, glosario y formatos)

2.2.4.6.

Guía Para El Manejo De Evidencia En IT (Guía Australia)

Standards Australia (Estándares de Australia) publico “Guía Para El Manejo De Evidencia En IT” (HB171:2003 Handbook Guidelines for the management of IT evidence). Esta guía no está disponible para su libre distribución, por esto para su investigación se consultaron los artículos “Buenas Prácticas En La Administración De La Evidencia Digital” y “New Guidelines to Combat ECrime”. Es una guía creada con el fin de asistir a las organizaciones

33

para combatir el crimen electrónico. Establece puntos de referencia para la preservación y recolección de la evidencia digital. Detalla el ciclo de administración de evidencia de la siguiente forma: a) b) c) d) e) f)

Diseño de la evidencia. Producción de la evidencia. Recolección de la evidencia. Análisis de la evidencia. Reporte y presentación. Determinación de la relevancia de la evidencia.

2.3.

MODELOS DE PROCESOS DE INFORMÁTICA FORENSE

Existen en la literatura diferentes aproximaciones a un modelo que permita diferenciar las distintas fases por las que pasa un análisis de evidencias digitales. A continuación se verá una recopilación de los distintos modelos presentados en orden cronológico, que según (Arquillo Cruz, 2006) dependen de la investigación que se vaya a hacer: 2.3.1. Modelo de Casey (2000) Eoghan Casey, en el año 2000 presenta un modelo para procesar y examinar evidencias digitales. Este modelo ha ido evolucionando en las siguientes. Tiene los siguientes pasos principales: 1. 2. 3. 4.

La Identificación La Conservación, la Adquisición, y la documentación La clasificación, la comparación, y la individualización La reconstrucción

En los últimos dos pasos es cuando la prueba es analizada. Casey señala que éste es un ciclo de procesamiento de prueba, porque al hacer la reconstrucción pueden hallarse pruebas adicionales que provoquen que el ciclo comience. El modelo se replantea primero en términos de sistemas de cómputo sin tener en cuenta la red, y luego ejercido para las distintas capas de red (desde la capa física hasta la capa de aplicación, e incluyendo la infraestructura de la red) para describir investigaciones en redes de computadoras. El modelo de Casey es muy general y se aplica exitosamente para ambos sistemas, las computadoras aisladas y con entornos de red.

34

2.3.2. Modelo publicado por el U.S. Dep. of Justice (2001) Este modelo se publicó en el año 2001 y quizás sea el más sencillo. Básicamente existen cuatro elementos clave en un análisis forense de computadoras, que son: 1. 2. 3. 4.

Identificación Conservación Análisis Presentación Ilustración 1: Etapas del modelo del U.S. Dep.of Justice 2001

Fuente: (Arquillo Cruz, 2006)

Este modelo supuso una de las grandes bases en este campo ya que a partir de estos conceptos clave, varios autores han desarrollado sus modelos para englobar todos los pasos de una investigación forense de computadoras.

2.3.3. Modelo de Lee (2001) Lee propone la investigación como un proceso. Este modelo se ocupa sólo de investigación de la escena de delito, y no del proceso investigador completo. Identifica cuatro pasos dentro del proceso:    

Reconocimiento Identificación Individualización Reconstrucción

El reconocimiento es el primer paso, en el cual se buscan ítems o patrones como pruebas potenciales. La identificación de los tipos diversos de prueba es el siguiente paso. Esto implica la clasificación de la prueba, y una subactividad, la comparación. La individualización se refiere a determinar si los ítems de prueba posible son únicos a fin de que puedan ser conectados con un acontecimiento o individuo particular.

35

La reconstrucción implica unificar el significado de las salidas de las anteriores partes del proceso, y cualquier otra información pertinente que los investigadores pudieron haber obtenido, para proveer una detallada relación de los acontecimientos y las acciones en la escena de delito.

2.3.4. Modelo del DFRWS (2001) El primer Forensics Digital Research Workshop (Palmer, 2001) produjo un modelo que muestra los pasos para el análisis forense digital en un proceso lineal. Los pasos son los siguientes: 20 Herramienta de apoyo para el análisis forense de computadoras 1. 2. 3. 4. 5. 6. 7.

La identificación La preservación La colección El examen El análisis La presentación La decisión

El modelo no pretende ser el definitivo, sino más bien como una base para el trabajo futuro que definirá un modelo completo, y también como una armazón para la investigación de futuro. El modelo DFRWS se replantea como lineal, pero la posibilidad de retroalimentación de un paso para los previos es mencionada. El informe DFRWS no discute los pasos del modelo con todo lujo de detalles sino por cada paso se listan un número de asuntos pendientes.

2.3.5. Modelo de Reith, Carr y Gunsch (2002) Reith, Carr y Gunsch (2002) describen un modelo que hasta cierto punto deriva del modelo DFRWS. Los pasos en su modelo son: 1. 2. 3. 4. 5. 6. 7. 8. 9.

La identificación La preparación La estrategia de acercamiento La preservación La colección El examen El análisis La presentación Devolviendo la evidencia

36

Este modelo es notable en cuanto a que explícitamente pretende ser un modelo abstracto aplicable para cualquier tecnología o cualquier tipo de ciber-delito. Se pretende que el modelo pueda ser utilizado como base otros métodos más detallados para cada tipo específico de investigación.

2.3.6. Modelo Integrado de Brian Carrier y Eugene Spafford (2003) Brian Carrier y Eugene Spafford han propuesto otro modelo que organiza el proceso en cinco grupos, cada uno dividido en 17 fases. a) Fases de Preparación El objetivo de esta fase es asegurar que las operaciones e infraestructuras están preparadas para soportar una investigación completa. Incluye dos fases: 1. Fase de preparación de operaciones: que asegura que los investigadores están adiestrados y equipados para tratar con un incidente cuando este ocurre. 2. Fase de preparación de infraestructuras: que asegura que la infraestructura subyacente es suficiente para tratar con incidentes. Por ejemplo, cámaras fotográficas, material de conservación y transporte de hardware, etc. b) Fases de Despliegue El propósito es proporcionar un mecanismo para que un incidente sea detectado y confirmado. Incluye dos fases: 1. Fase de Detección y Notificación: donde el incidente es detectado y notificado a las personas apropiadas. 2. Fase de Confirmación y Autorización: en la cual se confirma el incidente y se obtiene la aprobación legal para llevar a cabo la búsqueda. c) Fases de Investigación Física de la escena del crimen La meta de estas fases es recopilar y analizar las evidencias físicas y reconstruir las acciones que ocurrieron durante el incidente. Incluye seis fases: 1. Fase de Conservación: que busca conservar la escena del crimen de modo que la evidencia pueda ser identificada más tarde y recolectada por personal adiestrado en identificación de evidencias digitales. 2. Fase de Inspección: que requiere que un investigador recorre la escena física del delito e identifique elementos de evidencia física.

37

3. Fase de Documentación: que incluye tomar fotografías y videos de la escena del delito y de la evidencia física. 4. Fase de búsqueda y recolección: que entraña una búsqueda y recolección en profundidad de la escena de modo que se identifican evidencias físicas adicionales y se establecen vías para comenzar la investigación digital. 5. Fase de Reconstrucción: que incluye organizar los resultados del análisis hecho usándolos para desarrollar una teoría del incidente. 6. Fase de Presentación: que presenta la evidencia digital y física en un juicio o ante la dirección de una empresa. d) Fases de Investigación de la Escena Digital del Delito El objetivo es recolectar y analizar la evidencia digital que se obtuvo de la fase de investigación física y a través de otras fuentes. Incluye fases similares a las de la investigación física, aunque en este caso el objetivo principal es la evidencia digital. Las seis fases son: 1. Fase de conservación: que conserva la escena digital del delito de modo que la evidencia pueda ser después analizada. 2. Fase de Inspección: por la que el investigador transfiere los datos relevantes de una jurisdicción que está fuera del control físico o administrativo del investigador, a una posición controlada. 3. Fase de Documentación: que incluye documentar la evidencia digital cuando es encontrada. Esta información es útil en la fase de presentación. 4. Fase de Búsqueda y Recolección: se realiza un análisis en profundidad de la evidencia digital. 5. Fase de reconstrucción: que incluye ubicar las piezas del puzle y desarrollar una hipótesis investigativa. 6. Fase de Presentación: que consiste en presentar la evidencia encontrada y unirla a la evidencia física encontrada. e) Fase de revisión: esto conlleva una revisión de la investigación entera e identifica áreas de mejora. 2.3.7. Modelo Extendido de Séamus Ó Ciardhuáin (2004) En el año 2004, el IJCE (International Journal of Digital Evidence) publica un modelo extendido para investigaciones de ciberdelitos, cuyo autor fue Séamus Ó Ciardhuáin. Las actividades en una investigación se mencionan a continuación: 1. La conciencia 2. Autorización

38

3. Planificación 4. La notificación 5. Buscar e identificar pruebas 6. La colección de prueba 7. Transporte de prueba 8. El almacenamiento de prueba 9. El examen de prueba 10. La hipótesis 11. La presentación de hipótesis 12. La prueba /defensa de hipótesis 13. La diseminación de información. Este modelo tiene forma de cascada y las actividades se suceden unas a otras. Los flujos de información de una actividad a la siguiente pasan hasta el final del proceso de investigación. Por ejemplo, la cadena de custodia se forma por la lista de aquellos que han manipulado una evidencia digital y debe pasar de una etapa a la siguiente agregando los nombres en cada paso. Como se puede ver, existen numerosas metodologías para llevar a cabo un análisis informático forense o lo que también se puede denominar como un proceso de Informática Forense; sin embargo, todas coinciden más o menos en las mismas etapas. A continuación se hace un esquema con los cuatro procesos que son similares en todas las metodologías analizadas: 1. Fase de Identificación Esta fase se refiere a la recopilación de la información necesaria para trabajar sobre la fuente de datos presentada por el administrador de los servidores (solicitud forense). Aquí se pregunta: 

¿Qué información se necesita?



¿Cómo aprovechar la información presentada?



¿En qué orden ubico la información?



¿Acciones necesarias a seguir para el análisis forense?

El producto final de esta fase, debe entregar un documento detallado con la información que permita definir un punto de inicio para la adquisición de datos y para la elaboración del documento final.

39

Ilustración 2: Fase de identificación

Fuente: http://repositorio.utn.edu.ec/bitstream

2. Fase de Preservación Aunque el primer motivo de la recopilación de evidencias sea la resolución del incidente, puede ser que posteriormente se necesite iniciar un proceso legal contra los atacantes y en Ilustración 3: Fase de Preservación

tal caso se deberá documentar de forma clara cómo ha sido preservada la evidencia tras la recopilación. En esta fase, es imprescindible definir los métodos adecuados para el almacenamiento y etiquetado de las evidencias. Una vez que se cuenta con todas las evidencias del incidente es necesario conservarlas intactas ya que son las “huellas del crimen”, se deben asegurar estas evidencias a toda costa. Para ello se sigue el siguiente proceso.

40

Fuente: http://repositorio.utn.edu.ec/bitstream

3. Fase de Análisis Antes de iniciar esta fase se deben preparar las herramientas, técnicas, autorizaciones de monitoreo y soporte administrativo para iniciar el análisis forense sobre las evidencias obtenidas o presentadas por el administrador de los servidores. Una vez que se dispone de las evidencias digitales recopiladas y almacenadas de forma adecuada, se inicia la fase más laboriosa, el Análisis Forense propiamente dicho, cuyo objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque, determinando la cadena de acontecimientos que tuvieron lugar desde el inicio del ataque, hasta el momento de su descubrimiento. Este análisis se dará por concluido cuando se descubra cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc. En el proceso de análisis se emplean las herramientas propias del sistema operativo y las que se prepararon en la fase de extracción y preparación. Ilustración 4: Fase de análisis

Fuente: http://repositorio.utn.edu.ec/bitstream

4. Fase de documentación y presentación de las pruebas Es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finaliza el proceso de análisis forense, esto permitirá ser más eficiente y efectivo al tiempo que se reducirá las posibilidades de error a la hora de gestionar el incidente.

41

Ilustración 5: Fase de documentación y presentación de las pruebas

Fuente: http://repositorio.utn.edu.ec/bitstream

2.4. CADENA DE CUSTODIA La cadena de custodia es el conjunto de pasos o procedimientos seguidos para preservar la prueba digital que permita convertirla y usarla como evidencia digital en un proceso judicial. El ingeniero Gustavo D. Presman define en un artículo periodístico a la cadena de custodia como: “… un registro minucioso de las personas que han tomado contacto con la evidencia, indicando claramente los intervalos de posesión. La idea es simple pero muy efectiva: Conocer en todo momento quien estuvo en contacto con la evidencia a fin de poder evaluar las actividades que se efectuaron con relación a la misma y conocer quién es el responsable por las mismas.” (Presman, 2009). La cadena de custodia tiene las siguientes características:     

Reducir al máximo la cantidad de agentes implicados en el manejo o tratamiento de evidencias. Mantener la identidad de las personas implicadas desde la obtención hasta la presentación de las evidencias. Asegurar la firmeza de las evidencias. Registros de tiempos, firmados por los agentes, en los intercambios entre estos de las evidencias. Cada uno de ellos se hará responsable de las evidencias en cada momento. Asegurar la firmeza de las evidencias cuando las evidencias están almacenadas asegurando su protección.

La secuencia de la cadena de la evidencia debe seguir el siguiente orden: 

Recolección e identificación de evidencia.

42

     

Análisis. Almacenamiento. Preservación. Transporte. Presentación en el juzgado. Retorno a su dueño. Ilustración 6: Secuencia de la cadena de custodia

Fuente: dspace.ups.edu.ec/bitstream/123456789/546/4/CAPITULO3.pdf

2.4.1. Identificación de la Evidencia Digital En esta fase se debe localizar los dispositivos donde podemos encontrar evidencias, ya que muchas veces la información que directa o indirectamente se relaciona con esta conducta criminal queda almacenada de forma digital dentro de estos Sistemas Informáticos (Alvarez Galarza, 2008). Para la identificación de la evidencia dentro del proceso forense se debe:   

Anticipar qué procedimientos serán empleados en la práctica forense al momento de recopilar la evidencia. Identificar el tipo de información almacenada en un dispositivo y el formato en que se guarda, con la finalidad de usar la tecnología apropiada para extraer la información que se mantienen en el mismo. Los investigadores forenses deben estar en capacidad de reconocer qué formato tiene determinada información, cómo extraerla y qué medio requieren para almacenar y preservar la misma.

43

Con la finalidad de determinar donde debe ser ubicada y como debe ser usada la evidencia, se definen categorías para distinguir entre un sistema informático o hardware (evidencia electrónica) y la información contenida en este (evidencia digital). Ilustración 7: Evidencia electrónica

Fuente: dspace.ups.edu.ec/bitstream.pdf

Ilustración 8: Evidencia Digital

44

Fuente: dspace.ups.edu.ec/bitstream.pdf

2.4.2. Preservación de la evidencia La preservación se enfoca en resguardar los objetos que tengan valor como evidencia, de manera que estos permanezcan de forma completa, clara y verificable, es importante que cualquier examen que se lleve a cabo no genere cambios, en caso de suscitarse un cambio de manera inevitable, es esencial que se presente la razón por la que se dio tal acontecimiento, explicando el suceso detalladamente, posterior a ello debe ser registrado y justificado. En esta fase se utiliza técnicas criptográficas como códigos de seguridad (función hash, checksums) (Alvarez Galarza, 2008). La fase de preservación interviene a lo largo de todo el proceso de investigación forense, la misma interactúa con las demás fases. Las tareas que se deben seguir para preservar la evidencia digital son:    

Realizar dos copias de las evidencias obtenidas. Generar una suma de comprobación de la integridad de cada copia empleando función hash (MD5 o SHA1). Incluir las firmas obtenidas en la etiqueta de cada copia de la evidencia en el CD o DVD, incluir fecha, hora de la creación de la copia y el nombre de la misma. Proteger los dispositivos de factores externos como: cambios bruscos, temperatura o campos electromagnéticos, ya que pueden alterar la evidencia.

Si se extraen discos duros se deberá seguir el mismo procedimiento. Y en caso de que se requiera que los discos sean analizados por otras empresas especializadas, se debe solicitar que lo aseguren. Otro aspecto que se debe tomar en cuenta es la cadena de custodia, donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia, se deberá registrar los datos personales de todos los implicados en el proceso de manipulación de las copias:   

Dónde, cuándo y quién manejo o examinó la evidencia, incluyendo su nombre, su cargo, número de identificación, fechas y horas, etc. Quién estuvo custodiando la evidencia, durante cuánto tiempo y dónde se almacenó. Cuando se cambie la custodia de la evidencia también deberá documentarse cuándo y cómo se produjo la transferencia y quién la transportó.

2.4.3. Análisis de la Evidencia Digital

45

AFD (Análisis Forense Digital), es un conjunto de principios y técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias digitales y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial. Este análisis se dará por concluido cuando se conozca cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron, etc (Alvarez Galarza, 2008). Antes de realizar un análisis se debe tener en cuenta la siguiente información: a) b) c) d) e) f) g) h) i) j) k) l) m) n) o) p)

Sistema operativo afectado. Inventario de software instalado en el equipo Tipo de hardware del equipo Accesorios y/o periféricos conectados al equipo Si posee firewall Si esta en el ámbito del DMZ (Zona desmilitarizada) Conexión a Internet. Configuración. Parches y/o actualizaciones de software Políticas de seguridad implementadas Forma de almacenamiento de la información (cifrada o no) Personas con permisos de acceso al equipo El computador esta dentro del DMZ Existe IDS 16 Cuantos equipos en red se encuentran conectados. Listar usuarios conectados local y remotamente al sistema.

2.4.4. Presentación de Evidencia Digital Esta es la fase final de la investigación forense informática ya que se presentan los resultados y hallazgos del investigador. Tan pronto como el incidente haya sido detectado es importante tomar nota sobre las actividades que se llevan a cabo, cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta finalizar la presentación, la misma debe ser entendible, creíble, confiable y convincente, es decir se deberá especificar claramente los procedimientos y las técnicas utilizadas para recolectar, preservar y filtrar la evidencia de tal manera que sea legalmente aceptable para ser presentadas a las entidades investigadoras y judiciales.

46

2.5. METODOLOGÍAS Y ESTRATEGIAS EN BASE A LA INFORMÁTICA FORENSE Las metodologías que se usen en la Informática Forense pueden ser diversas e independientemente de las plataformas o sistema operacional donde se efectúen las actividades de los investigadores forenses en informática se debe cumplir los siguientes requisitos con la información o evidencia identificada (Alvarez Galarza, 2008).   

Para las copias de la información se debe utilizar medios forenses estériles Mantener la integridad del medio original Etiquetar, controlar y transmitir adecuadamente las copias de los datos, impresiones y resultado de la investigación.

De esta forma la evidencia no será rebatida y tampoco descartada como medio probatorio. Para realizar un análisis forense se requiere de una metodología científica probada, y del uso de la tecnología disponible para encontrar, recolectar, procesar e interpretar datos, así como de una cuidadosa cautela y de buenos conocimientos. Los componentes principales que debe cumplir una metodología para un análisis forense es: 









Marco Científico: Investigaciones y experiencias apoyadas estrictamente en el método científico. Más allá de la fluidez argumentativa propia de cada profesional se debe aportar estructura lógicas necesarias para justificar las fundamentaciones de manera estricta e irrebatible. Marco Criminalístico: Interrelacionarse con los restantes especialistas del área, interactuar con los mismos, trabajar en forma mancomunada y en base a visiones específicas llegar a conclusiones coherentes. Obtener los conocimientos necesarios para detectar, documentar, preservar y de ser necesario secuestrar los elementos probatorios propios de otras especialidades presentes en el lugar del hecho. Marco Informático general: las metodologías de Análisis de Sistemas, que se utiliza en herramientas de uso general se pueden adaptar a las actividades periciales informáticas. Las etapas de relevamiento de información y desarrollo de un modelo coherente de análisis, se evidencian como instrumentos adecuados para brindar soporte metodológico a la actividad del experto en informática Forense. Marco Informático específico: en relación con las herramientas propias del análisis forense informático, deben ser abordadas desde las características más adecuadas que vayan con la realidad de nuestra sociedad, ya sean ambientes de software libre o software propietario. Marco Legal: Implica la inserción legal del accionar pericial al concurrir al lugar del hecho, los cumplimientos de los plazos legales, la condición de testigo experto, los artículos de las leyes vigentes en nuestro país.

47

2.6. ELEMENTOS FUNDAMENTALES DEL PROCESO FORENSE 1. Esterilidad de los medios de informáticos de trabajo Los medios informáticos utilizados por los profesionales en esta área, deben estar certificados de tal manera, que éstos no hayan sido expuestos a variaciones magnéticas, ópticas (láser) o similares, so pena de que las copias de la evidencia que se ubiquen en ellos puedan estar contaminadas. La esterilidad de los medios es una condición fundamental para el inicio de cualquier procedimiento forense en informática, pues al igual que en la medicina forense, un instrumental contaminado puede ser causa de una interpretación o análisis erróneo de las causas de la muerte del paciente. 2. Verificación de las copias en medios informáticos Las copias efectuadas en los medios previamente esterilizados, deben ser idénticas al original del cual fueron tomadas. La verificación de éstas debe estar asistida por métodos y procedimientos matemáticos que establezcan la completitud de la información traspasada a la copia. Para esto, se sugiere utilizar algoritmos y técnicas de control basadas en firma digitales que puedan comprobar que la información inicialmente tomada corresponde a la que se ubica en el medio de copia. Adicionalmente, es preciso que el software u aplicación soporte de esta operación haya sido previamente probado y analizado por la comunidad científica, para que conociendo su tasa de efectividad, sea validado en un procedimiento ante una diligencia legal. 3. Documentación de los procedimientos, herramientas y resultados sobre los medios informáticos analizados El investigador debe ser el custodio de su propio proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas (sus versiones, licencias y limitaciones), los resultados obtenidos del análisis de los datos, deben estar claramente documentados, de tal manera, que cualquier persona externa pueda validar y revisar los mismos. Ante una confrontación sobre la idoneidad del proceso, el tener documentado y validado cada uno de sus procesos ofrece una importante tranquilidad al investigador, pues siendo rigurosos en la aplicación del método científico es posible que un tercero reproduzca sus resultados utilizando la misma evidencia. 4. Mantenimiento de la cadena de custodia de las evidencias digitales Este punto es complemento del anterior. La custodia de todos los elementos allegados al caso y en poder del investigador, debe responder a una diligencia y formalidad especiales para documentar cada uno de los eventos que se han realizado con la evidencia en su poder.

48

Quién la entregó, cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella, cómo se ha efectuado su custodia, entre otras, son las preguntas que deben estar claramente resueltas para poder dar cuenta de la adecuada administración de las pruebas a su cargo. 5. Informe y presentación de resultados de los análisis de los medios informáticos Este elemento es tan importante como los anteriores, pues una inadecuada presentación de los resultados puede llevar a falsas expectativas o interpretación de los hechos que ponga en entredicho la idoneidad del investigador. Por tanto, la claridad, el uso de un lenguaje amable y sin tecnicismos, una redacción impecable sin juicios de valor y una ilustración pedagógica de los hechos y los resultados, son elementos críticos a la hora de defender un informe de las investigaciones. Generalmente existen dos tipos de informes, los técnicos con los detalles de la inspección realizada y el ejecutivo para la gerencia y sus dependencias. 6. Administración del caso realizado Los investigadores forenses en informática deben prepararse para declarar ante un jurado o juicio, por tanto, es probable que en el curso de la investigación o del caso, lo puedan llamar a declarar en ese instante o mucho tiempo después. Por tanto, el mantener un sistema automatizado de documentación de expedientes de los casos, con una adecuada cuota de seguridad y control, es labor necesaria y suficiente para salvaguardar los resultados de las investigaciones y el debido cuidado, diligencia y previsibilidad del profesional que ha participado en el caso. 7. Auditoría de los procedimientos realizados en la investigación Finalmente y no menos importante, es recomendable que el profesional investigador mantenga un ejercicio de autoevaluación de sus procedimientos, para contar con la evidencia de una buena práctica de investigaciones forenses, de tal manera que el ciclo de calidad: PHVA - Planear, Hacer, Verificar y Actuar, sea una constante que permita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prácticas y técnicas actuales para el mejoramiento de su ejercicio profesional y la práctica de la disciplina.

2.7. REGLAS DE LA INFORMÁTICA FORENSE A continuación se presentan unas reglas generales para aplicar a cualquier proceso en la informática forense, su cumplimiento es fundamental para asegurar la aceptación, recepción de cualquier evidencia en un juzgado. Dado que la metodología que se emplee será

49

determinada por el especialista forense, el proceso escogido debe aplicarse de forma que no se vulneren las reglas básicas de la informática forense. Esencialmente, las reglas de la informática forense son: 2.7.1. Regla 1: Minimizar el Manejo del Original La aplicación del proceso de la informática forense durante el examen de los datos originales se deberá reducir al mínimo posible. Esto se puede considerarse como la regla más importante en la informática forense. Cualquier análisis debe dirigirse de manera tal que minimice la probabilidad de alteración, esto se logra copiando el original y examinando luego los datos duplicados. La duplicación de evidencia tiene varias ventajas:  Asegurar que el original no será alterado en caso de un uso incorrecto o inapropiado del proceso que se aplique.  Permitir al examinador aplicar diferentes técnicas en casos dónde el mejor resultado no está claro. Si durante tales ensayos los datos se alteran o se destruyen, simplemente se recurre a otra copia.  Permite a varios especialistas de informática forense trabajar en los mismos datos, o en partes de los datos, al mismo tiempo.  Asegurar que el original se ha preservado en el mejor estado posible para la presentación en un juzgado. Aunque hay ventajas al duplicar la evidencia, hay también desventajas.  La duplicación de evidencia debe realizarse de la mejor manera y con herramientas, que aseguren que el duplicado es una copia perfecta del original. El fracaso para autenticar el duplicado apropiadamente, producirá un cuestionamiento sobre su integridad, lo que lleva inevitablemente a preguntar por la exactitud y fiabilidad del proceso del examen y los resultados logrados.  Duplicando el original, se está agregando un paso adicional en el proceso forense, a mas de que la recreación de este ambiente se torna una tanto difícil, esto implica que se requieren más recursos y tiempo extra para facilitar el proceso de duplicación, y la metodología empleada debe extenderse para incluir el proceso de la duplicación. 2.7.2. Regla 2: Documentar los cambios Cuando ocurren cambios ya sea en la evidencia original o duplicados durante un examen forense, la naturaleza, magnitud y razón para ellos debe documentarse apropiadamente, esto se aplica tanto a nivel físico como lógico. Adicionalmente, el perito debe ser capaz de identificar correctamente la magnitud de cualquier cambio y dar una explicación detallada de por qué era necesario el mismo, este proceso depende directamente de las habilidades y conocimiento del investigador forense. Durante el examen forense este punto puede parecer insignificante, pero se vuelve un problema crítico cuando el examinador está presentando sus resultados en un juicio.

50

Aunque la evidencia puede ser legítima, las preguntas acerca de las habilidades del examinador y conocimiento pueden afectar su credibilidad, así como la confiabilidad del proceso empleado. Con una duda razonable, los resultados del proceso forense, en el peor de los casos, se consideraran inaceptables. Aunque la necesidad de alterar los datos ocurre pocas veces, hay casos dónde al examinador se le exige el cambio para facilitar el proceso del examen forense. 2.7.3. Regla 3: Cumplir con las Reglas de Evidencia Para la aplicación o el desarrollo de herramientas y técnicas forenses se deben tener en cuenta las normas pertinentes de evidencia.  Asegurar que el uso de herramientas y técnicas no disminuye la admisibilidad del producto final.  Presentar la información de una manera que sea tan representativa del original como sea posible. Es decir, el método de presentación no debe alterar el significado de la evidencia. 2.7.4. Regla 4: No exceda su conocimiento El especialista en informática forense no debe emprender un examen más allá de su nivel de conocimiento y habilidad. Es esencial que el perito sea consciente del límite de su conocimiento y habilidad. Llegado este punto, dispone de las siguientes opciones:  Detener cualquier examen y buscar la ayuda de personal más experimentado.  Realizar la investigación necesaria para mejorar su propio conocimiento, para que le permita continuar el examen y se alcance a obtener lo que se busca. Es indispensable que el examinador forense puede describir correctamente los procesos empleados durante un examen y explicar de la mejor manera la metodología seguida para ese proceso. El fracaso para explicar competentemente y con precisión, la aplicación de un proceso puede producir cuestionamientos sobre el conocimiento y credibilidad del examinador. Los análisis complejos deben ser emprendidos por personal calificado y experimentado que posea un apropiado nivel de entrenamiento. Adicionalmente, dado que la tecnología está avanzando continuamente, es importante que el examinador reciba entrenamiento continuo.

51

2.8. HERRAMIENTAS UTILIZADAS EN INFORMÁTICA FORENSE 2.8.1. Evolución de las Herramientas de Investigación En el comienzo de la investigación criminal de computadoras, era común para los investigadores usar el mismo ordenador que estaban examinando para hacer con este la investigación. Un riesgo de esta estrategia era que operando la computadora que contiene las evidencias se podía alterar la evidencia de modo que era indetectable (Presman, 2009). Aunque programas como dd en UNIX existían en los años ochenta y podía usarse para capturar datos borrados almacenados en el disco duro, estas herramientas no eran comúnmente usadas y la mayoría de los análisis en aquel tiempo se realizaban en el nivel de sistema de ficheros, descuidando los datos borrados. No fue sino hasta el comienzo de los noventa, cuando se desarrollaron herramientas como SafeBack y DIBS, que permitían a los investigadores recopilar todos los datos de un disco, sin alterar detalles importantes. Alrededor de esas fechas, se desarrollaron herramientas como aquellas para el IRS de los Estados Unidos (Hacienda), por parte de Maresware y NTI. Éstas ayudaban a los investigadores a procesar datos en un disco de ordenador. La Real Policía Montada de Canadá también desarrolló herramientas especializadas para examinar computadores. Por aquel entonces mucha gente temía por el valor probatorio de las computadoras, y se impuso la necesidad de herramientas más avanzadas. Para satisfacer esta necesidad, se desarrollaron herramientas integradas como FTK para más fácil el trabajo del investigador. Estas herramientas permitían hacer el análisis más eficiente, automatizando rutinas y mostrando datos en una interfaz gráfica para ayudar a encontrar los detalles importantes. Recientemente, se ha renovado el interés de Linux como plataforma de análisis y herramientas como The Sleuth Kit o SMART han sido desarrolladas para proveer de una interfaz amigable al usuario. Herramientas más sofisticadas usan poderosos microscopios y están disponibles para recuperar datos sobrescritos de los discos duros, pero son demasiado caras para la mayoría de los bolsillos Desafortunadamente, muchas personas aún no son conscientes de la necesidad de estas herramientas. A pesar de que los jueces han sido indulgentes con los investigadores que maltratan las evidencias digitales, esto está cambiando a medida que aumenta el conocimiento sobre esta materia. Ha habido una progresión similar en la evolución de herramientas para recopilar evidencias en los sistemas de comunicación. A finales de los ochenta, Clifford Stoll describió como

52

hacía impresiones del tráfico de red en un esfuerzo de preservarlo como evidencia. Las herramientas de monitorización de tráfico como tcpdump y Ethereal pueden usarse para capturar tráfico de red, pero no están diseñadas específicamente para recopilar evidencias digitales. Herramientas comerciales como Carnivore, NetIntercept, NFR Security, NetWitness, y SilentRunner se han desarrollado con búsqueda integrada, visualización y características de análisis para ayudar a los investigadores a extraer información del tráfico de red. Más que apoyarse en las herramientas, las redes requieren el ingenio del investigador para recopilar y analizar las evidencias. También se ha producido una evolución parecida en las herramientas de recopilación de evidencias de sistemas embebidos. Es común para los investigadores leer datos de teléfonos móviles, buscas, agendas electrónicas, y otros asistentes personales digitales directamente desde los dispositivos. Sin embargo, esta estrategia no permite el acceso a datos borrados y puede que el análisis no sea posible si el dispositivo está protegido por contraseña o no tiene una forma de mostrar todos los datos que contiene. Por lo tanto, herramientas como ZERT, TULP y Cards4Labs han sido desarrolladas para acceder a datos protegidos por contraseña y a los datos borrados. Otras técnicas más sofisticadas están disponibles implicando a microscopios electrónicos para recuperar datos encriptados de sistemas embebidos, pero son demasiado caras. Con el paso de los años se han encontrado fallos en varias herramientas de procesamiento de evidencias digitales, que provocan que la evidencia se pierda o se malinterprete. Para evitar los errores judiciales que pueden resultar de estos fallos, es deseable evaluar la fiabilidad de las herramientas usadas comúnmente. El Instituto Nacional de Estándares y Testeo (NIST) está haciendo un esfuerzo para testear algunas de éstas herramientas. Sin embargo, ésta es una tarea ardua, debido a que puede no ser posible crear tests estándar para características avanzadas de varias herramientas, puesto que cada herramienta tiene diferentes características. En 2002 Brian Carrier propuso reducir la complejidad de los test permitiendo a la gente ver el código fuente de componentes cruciales del software. Facilitando a los programadores de todo el mundo el código fuente, se permitiría a los testeadores de herramientas ganar un mejor entendimiento del programa e incrementaría la probabilidad de encontrar fallos. Es algo reconocido que los desarrolladores de herramientas comerciales querrán mantener algunas partes de sus programas de forma privada para proteger su ventaja en la competencia. Sin embargo, ciertas operaciones como copiar datos de un disco duro son suficientemente comunes y cruciales para requerir un estándar abierto. Últimamente, dada la complejidad de los sistemas de computadoras y las herramientas usadas para examinarlos, no es posible eliminar o cuantificar los errores, la incertidumbre y las pérdidas, de modo que los investigadores deben validar sus propios resultados usando varias herramientas.

53

2.8.2. Clasificación de las herramientas para Informática forense La descripción de cada una de las herramientas que se presentan a continuación está basada en la siguiente clasificación orientada a la informática forense: 1. 2. 3. 4.

Herramientas para recolección de evidencias. Herramientas para el Monitoreo y/o Control de Computadores. Herramientas de Marcado de documentos. Herramientas de Hardware.

1) Herramientas para recolección de evidencias: Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace necesario debido a:      

La gran cantidad de datos que pueden estar almacenados en un computador. La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo. La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta. Limitaciones de tiempo para analizar toda la información. Facilidad para borrar archivos de computadores. Mecanismos de encripción, o de contraseñas.

2) Herramientas para el Monitoreo y/o Control de Computadores Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de las mismas, para poder recolectar información. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan información sobre las teclas que son presionadas, hasta otros que guardan imágenes de la pantalla que ve el usuario del computador, o hasta casos donde la máquina es controlada remotamente. 3) Herramientas de Marcado de documentos Un aspecto interesante es el de marcado de documentos; en los casos de robo de información, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fácilmente. La seguridad está centrada en la prevención de ataques. Algunos sitios que manejan información confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para cualquier tipo de incidentes. 4) Herramientas de Hardware

54

Debido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la información se han diseñado varias herramientas para ello. En el siguiente cuadro se relacionan algunas de las herramientas más usadas hoy en día en el proceso de la informática forense: Tabla: Herramientas usadas en informática forense PROCESO

SISTEMA OPERATIVO Herramientas basadas en Linux Herramientas basadas en Macintosh

Herramientas basadas en Windows

ANÁLISIS DE DISCOS

Herramientas de código abierto

EXTRACCIÓN DE META-DATOS

Herramientas de código abierto

ANÁLISIS DE FICHEROS

Herramientas de código abierto

55

HERRAMIENTA LINReS, de NII Consulting Pvt. Ltd. SMART, by ASR Data Macintosh Forensic Software, de BlackBag Technologies, Inc. MacForensicLab, de Subrosasoft BringBack de Tech Assist, Inc. EnCase, by Guidance Software FBI, by Nuix Pty Ltd Forensic Toolkit (FTK), de AccessData ILook Investigator, Safeback de NTI & Armor Forensics X-Ways Forensics, de X-Ways AG Prodiscover, de Techpathways AFFLIB Autopsy FOREMOST FTimes Gfzip Gpart Magic Rescue PyFlag Scalpel Scrounge-Ntfs The Sleuth Kit The Coroner's Toolkit (TCT) Zeitline Antiword Catdoc y XLS2CSV Jhead VINETTO Word2x WvWare XPDF Metadata Assistant File Ldd Ltrace Strace Strings Galleta

RECUPERACIÓN DE DATOS

Herramientas de código abierto

RECUPERACIÓN DE PARTICIONES

Herramientas de código abierto

Pasco Rifiuti NetIntercept Rkhunter Snort Tcpextract TrueWitness Etherpeek BringBack RAID Reconstructor Salvation Data Partition Table Doctor Parted Active Partition Recovery Testdisk

Fuente: Elaboración propia

3. MARCO CONCEPTUAL

En este capítulo se definirán cada uno de los elementos que componen el análisis informático forense, sus características, clasificación y papel dentro del proceso.

3.1.

EVIDENCIA DIGITAL

(Casey, 2010) define la evidencia de digital como “cualquier dato que puede establecer que un crimen se ha ejecutado (commit) o puede proporcionar una enlace (link) entre un crimen y su víctima o un crimen y su autor”. “Cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático” A diferencia de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original. Otro aspecto único de la evidencia computacional es el potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se realizó una copia. Esta situación crea problemas concernientes a la investigación del robo de secretos comerciales, como listas de clientes, material de investigación, archivos de diseño asistidos por computador, fórmulas y software propietario. Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben alterar de los originales del disco, porque esto invalidaría la evidencia; por esto los investigadores deben revisar con frecuencia que sus copias sean exactas a las del disco del sospechoso, para esto se utilizan varias tecnologías, como por ejemplo checksums o hash MD5.

56

Cuando ha sucedido un incidente, generalmente, las personas involucradas en el crimen intentan manipular y alterar la evidencia digital, tratando de borrar cualquier rastro que pueda dar muestras del daño. Sin embargo, este problema es mitigado con algunas características que posee la evidencia digital y que deben tenerse siempre presentes:   

La evidencia de Digital puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original. Esto se hace comúnmente para no manejar los originales y evitar el riesgo de dañarlos. Actualmente, con las herramientas existentes, es muy fácil comparar la evidencia digital con su original, y determinar si la evidencia digital ha sido alterada. La evidencia de Digital es muy difícil de eliminar. Aún cuando un registro es borrado del disco duro del computador, y éste ha sido formateado, es posible recuperarlo.

3.1.1. Clasificación de la evidencia digital (Cano Marinez, 2006) Clasifica la evidencia digital que contiene texto en 3 categorías: 





Registros generados por computador: Estos registros son aquellos, que como dice su nombre, son generados como efecto de la programación de un computador. Los registros generados por computador son inalterables por una persona. Estos registros son llamados registros de eventos de seguridad (logs) y sirven como prueba tras demostrar el correcto y adecuado funcionamiento del sistema o computador que generó el registro. Registros no generados sino simplemente almacenados por o en computadores: Estos registros son aquellos generados por una persona, y que son almacenados en el computador, por ejemplo, un documento realizado con un procesador de palabras. En estos registros es importante lograr demostrar la identidad del generador, y probar hechos o afirmaciones contenidas en la evidencia misma. Para lo anterior se debe demostrar sucesos que muestren que las afirmaciones humanas contenidas en la evidencia son reales. Registros híbridos que incluyen tanto registros generados por computador como almacenados en los mismos: Los registros híbridos son aquellos que combinan afirmaciones humanas y logs. Para que estos registros sirvan como prueba deben cumplir los dos requisitos anteriores.

3.1.2. Criterios de admisibilidad En legislaciones modernas existen cuatro criterios que se deben tener en cuenta para analizar al momento de decidir sobre la admisibilidad de la evidencia: la autenticidad, la confiabilidad, la completitud o suficiencia, y el apego y respeto por las leyes y reglas del poder judicial.

57

Autenticidad: una evidencia digital será autentica siempre y cuando se cumplan dos elementos:  

El primero, demostrar que dicha evidencia ha sido generada y registrada en el lugar de los hechos La segunda, la evidencia digital debe mostrar que los medios originales no han sido modificados, es decir, que la los registros corresponden efectivamente a la realidad y que son un fiel reflejo de la misma.

A diferencia de los medios no digitales, en los digitales se presenta gran volatilidad y alta capacidad de manipulación. Por esta razón es importante aclarar que es indispensable verificar la autenticidad de las pruebas presentadas en medios digitales contrarios a los no digitales, en las que aplica que la autenticidad de las pruebas aportadas no será refutada. Para asegurar el cumplimiento de la autenticidad se requiere que una arquitectura exhiba mecanismos que certifiquen la integridad de los archivos y el control de cambios de los mismos. Confiabilidad: se dice que los registros de eventos de seguridad son confiables si provienen de fuentes que son “creíbles y verificable”. Para probar esto, se debe contar con una arquitectura de computación en correcto funcionamiento, la cual demuestre que los logs que genera tiene una forma confiable de ser identificados, recolectados, almacenados y verificados. Una prueba digital es confiable si el “sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o generar la prueba”. La arquitectura de computación del sistema logrará tener un funcionamiento correcto siempre que tenga algún mecanismo de sincronización del registro de las acciones de los usurarios del sistema y que a posea con un registro centralizado e íntegro de los mismos registros. Suficiencia o completitud de las pruebas: para que una prueba esté considerada dentro del criterio de la suficiencia debe estar completa. Para asegurar esto es necesario “contar con mecanismos que proporcionen integridad, sincronización y centralización” para lograr tener una vista completa de la situación. Para lograr lo anterior es necesario hacer una verdadera correlación de eventos, la cual puede ser manual o sistematizada. Apogeo y respeto por las leyes y reglas del poder judicial: este criterio se refiere a que la evidencia digital debe cumplir con los códigos de procedimientos y disposiciones legales del ordenamiento del país. Es decir, debe respetar y cumplir las normas legales vigentes en el sistema jurídico.

58

3.2.

DELITOS INFORMÁTICOS

Para tener una perspectiva más amplia del tema, en este capítulo trataremos de forma simple y concisa de lo que es un delito informático, otra razón importante para la elaboración de este proyecto porque este, es otro campo significativo en donde la informática forense cobra gran fuerza ya que cada vez es más común que las personas sean víctimas de este tipo de flagelos, debido al avance mismo de la tecnología. Según Alexander Díaz García, Juez segundo de control de garantías de Róvira (Tolima) y especialista en nuevas tecnologías y protección de datos un delito informático es “Es aquel donde se roba de manera ilegal información y datos personales que están en un medio digital.” Tomando como referencia el “Convenio de Ciberdelincuencia del Consejo de Europa”, podemos definir los delitos informáticos como: “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”. La Ley 1273 del 2009 que realiza modificaciones al Código Penal colombiano tipifica los delitos informáticos como “aquellas conductas que recaen sobre herramientas informáticas, llámense programas, ordenadores, etc.; como aquellas que valiéndose de estos medios lesionan otros intereses jurídicamente tutelados como son la intimidad, el patrimonio económico, la fe pública, etc. Se puede decir que el delito informático es toda acción consciente y voluntaria que provoca un perjuicio a una persona natural o jurídica sin que necesariamente conlleve a un beneficio material para su autor, o que por el contrario produce un beneficio ilícito para su autor aun cuando no perjudique de forma directa o inmediata a la víctima, y en cuya comisión interviene indispensablemente de forma activa dispositivos normalmente utilizados en las actividades informáticas. En el desarrollo de un delito informático se puede identificar: • Incidente • Evento • Riesgo 3.2.1. Incidente Un incidente es cualquier evento relacionado con la seguridad de la información en el cual alguna política de seguridad ha sido violada. Los atributos de un incidente pueden incluir:  Acceso no autorizado o intento de acceso al sistema de información.  Interrupción o negación de servicio.  Alteración o destrucción de los procesos de entrada, almacenamiento o salida de información.

59



Cambios o intentos de cambio en hardware, software o firmware sin conocimiento del usuario.

3.2.2. Evento El personal involucrado en la administración de un sistema de información puede determinar la presencia de un evento basado en un hecho evidente en el sistema, regularmente este hecho es solo un atributo o una característica del evento. Ejemplos de atributos de un evento son:  Colapso del sistema  Despliegue inusual de graficas  Algo que no esté “correcto” Sin embargo estos por si mismos pueden ser catalogados como eventos, una exploración mayor de parte de los administradores de sistemas pueden cambiar los parámetros y reclasificar el evento en un incidente. La reclasificación está basada en el hecho que la ocurrencia se basa a su vez en la violación de alguna política, un acto malicioso o una infracción externa. 3.2.3. Riesgo La vulnerabilidad es una debilidad que expone un activo o bien (cualquier objeto de valor para la organización) a una pérdida o daño físico o lógico. Algunos ejemplos de vulnerabilidades incluyen:  Fallas en las aplicaciones  Redes no redundantes  Seguridad física débil  Fallas o supresión de los sistemas contra incendios Un ataque es una persona o alguna condición que tiene alguna probabilidad de explotar una vulnerabilidad. Ejemplos de ataques incluyen:  Un delincuente  Un servicio de inteligencia externo  El clima El riesgo es descrito como la relación entre la vulnerabilidad y el evento. La formula es: Riesgo = Vulnerabilidad * Evento La vulnerabilidad es determinada por el valor del bien afectado.

60

El riesgo es la probabilidad que un evento explote la vulnerabilidad dando como resultado el daño a un bien en particular. El impacto o costo del daño a un bien es utilizado para calcular el riesgo. Para calcular el riesgo total de un bien en particular debe considerarse todas las vulnerabilidades y eventos relevantes. 3.2.4. Características de los delitos informáticos               

Son delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las pruebas. Son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un equipo informático y sin estar presente físicamente en el lugar de los hechos. Los delitos informáticos tienden a proliferar y evolucionar, lo que complica aún más la identificación y persecución de los mismos. Son conductas criminógenas de cuello blanco (white collar crimes), en tanto que sólo determinado número de personas con ciertos conocimientos (en este caso técnicos) pueden llegar a cometerlas. Son acciones ocupacionales, en cuanto que muchas veces se realizan cuando el sujeto se halla trabajando. Son acciones de oportunidad, en cuanto que se aprovecha una ocasión creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico. Provocan serias pérdidas económicas, ya que casi siempre producen "beneficios de más de cinco cifras a aquellos que los realizan. Ofrecen facilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. Son muy sofisticados y relativamente frecuentes en el ámbito militar. Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico. En su mayoría son imprudenciales y no necesariamente se cometen con intención. Ofrecen facilidades para su comisión a los mentores de edad. Tienden a proliferar cada vez más, por lo que requieren una urgente regulación. Por el momento siguen siendo ilícitos impunes de manera manifiesta ante la ley.

3.2.5. Tipos de delitos informáticos Esencialmente existen tres tipos de delitos informáticos, reconocidos por la ONU, cada uno de los cuales presenta otras categorías:

61

  

Fraudes cometidos mediante manipulación de computadoras Daños o modificaciones de programas o datos informáticos Accesos no autorizados a servicios y sistemas informáticos

3.2.5.1.

Fraudes cometidos mediante manipulación de computadoras

En los fraudes cometidos mediante la manipulación de computadoras se identifica las siguientes modalidades:  Manipulación de los datos de entrada.  Manipulación de programas.  Manipulación de los datos de salida.  Manipulación informática que aprovecha las repeticiones automáticas de los procesos de cómputo. Manipulación de los datos de entrada: Este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. Manipulación de programas: Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado “Caballo de Troya”, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. Manipulación de los datos de salida: Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente estos fraudes se hacían con base en tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipos y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. Fraude efectuado por manipulación informática que aprovecha las repeticiones automáticas de los procesos de cómputo: Es una técnica especializada que se denomina "técnica del

62

salchichón o salami" en la que "rodajas muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. 3.2.5.2.

Daños o modificaciones de programas o datos computarizados

Los daños o modificaciones de programas y/o datos computarizados pueden ser ocasionados por:  Sabotaje informático.  Virus.  Bomba lógica o cronológica.  Gusanos. Sabotaje informático: Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas más comunes que permiten cometer sabotajes informáticos son: Virus: Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada. Gusanos: Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. Bomba lógica o cronológica: exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro, ya que se activa según una condición. Ahora bien, al contrario de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. 3.2.5.3.

Accesos no autorizados a servicios y sistemas informáticos

Piratas informáticos o hackers: El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación: el delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento o que vienen por defecto, que están en el propio sistema.

63

Reproducción no autorizada de programas informáticos: Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como “delito” esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas.

3.3.

TIPOS DE ATACANTES

A raíz de la introducción de la informática en los hogares y los avances tecnológicos, ha surgido toda una generación de delincuentes que actúan en la Red y/o cualquier sistema de cómputo. Todos ellos son catalogados como “piratas informáticos” o “piratas de la Red” la nueva generación de “rebeldes” de la tecnología aporta sabiduría y enseñanza, y otros, destrucción o delitos informáticos. Hay que saber bien quien es cada uno de ellos y catalogarlos según sus actos de rebeldía en la mayoría de los casos. Hasta la fecha esta nueva generación, ha sido dividida en una decena de grandes áreas fundamentales en las que reposan con fuerza, la filosofía de cada uno de ellos. Todos y cada uno de los grupos aporta, en gran medida algo bueno en un mundo dominado por la tecnología, pero esto, no siempre sucede así. Algunos grupos ilícitos toman estas iniciativas como partida de sus actos rebeldes. 3.3.1. Hackers Los hackers son el primer eslabón de una sociedad “delictiva” según los especialistas. Estos personajes son expertos en sistemas avanzados. En la actualidad se centran en los sistemas informáticos y de comunicaciones. Dominan la programación y la electrónica para lograr comprender sistemas tan complejos como la comunicación móvil. Su objetivo principal es comprender los sistemas y el funcionamiento de ellos. Su objetivo es ingresar en sistemas informáticos, con el fin de decir aquello de “he estado aquí” o “fui yo” pero no modifican ni se llevan nada del computador atacado. Un hacker busca, primero el entendimiento del sistema tanto de Hardware como de Software y sobre todo descubrir el modo de codificación de las órdenes. En segundo lugar, busca el poder modificar esta información para usos propios y de investigación del funcionamiento total del sistema. 3.3.2. Crackers Es el siguiente eslabón y por tanto el primero de una familia rebelde. Cracker es aquel Hacker fascinado por su capacidad de romper sistemas y Software y que se dedica única y exclusivamente a Crackear sistemas.

64

Un Crack es el proceso o la llave necesaria para legalizar un software sin limites de tiempo y sin pagar por ello la respectiva licencia. Para los grandes fabricantes de sistemas y los medios de comunicación este grupo es el más peligroso de todos, ya que siempre encuentran el modo de romper una protección. El Cracker diseña y fabrica programas de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos. Muchos Crackers “cuelgan” páginas Web por diversión. 3.3.3. Lamers Este grupo es quizás el más numeroso que existe y quizás son los que mayor presencia tienen en el Internet. Normalmente son individuos con ganas de hacer Hacking, pero que carecen de cualquier conocimiento. Habitualmente son individuos que apenas si saben lo que es un computador, pero el uso de este y las grandes oportunidades que brinda Internet, convierten al nuevo internauta en un obsesivo ser que rebusca y relee toda la información que le fascina y que se puede encontrar en Internet. Normalmente la posibilidad de entrar en otro sistema remoto, le fascinan enormemente. Este es quizás el grupo que más daño ocasiona ya que ponen en práctica todo el Software de Hackeo que encuentran en Internet. Así es fácil ver como un Lamer prueba a diestro y siniestro un “bombeador de correo electrónico” esto es, un programa que bombardea el correo electrónico ajeno con miles de mensajes repetidos hasta colapsar el sistema y después se ríe auto denominándose Hacker. 3.3.4. Copyhackers Son conocidos sólo en el terreno del crackeo de Hardware, mayoritariamente del sector de tarjetas inteligentes empleadas en sistemas de telefonía celular. La principal motivación de estos nuevos personajes, es el dinero. 3.3.5. Bucaneros Son peores que los Lamers, ya que no aprenden nada ni conocen la tecnología. Comparados con los piratas informáticos, los bucaneros sólo buscan el comercio negro de los productos entregados por los Copyhackers. Los bucaneros sólo tienen cabida fuera de la red, ya que dentro de ella, los que ofrecen productos “Crackeados” pasan a denominarse “piratas informáticos”, el bucanero es simplemente un comerciante, el cual no tienen escrúpulos a la hora de explotar un producto de Cracking a un nivel masivo.

65

3.3.6. Phreaker Este grupo es bien conocido en la Red por sus conocimientos en telefonía. Se convirtió en una actividad de uso común cuando se publicaron las aventuras de John Draper, en un artículo de la Revista Esquire, en 1971. Se trata de una forma de evitar los mecanismos de facturación de las compañías telefónicas. Permite llamar de cualquier parte del mundo sin costo prácticamente. En muchos casos, también evita, o al menos inhibe, la posibilidad de que se pueda trazar el camino de la llamada hasta su origen, evitando así la posibilidad de ser atrapado. Para la mayor parte de los miembros del submundo informático, esta es simplemente una herramienta 3.3.7. Newbie Es un novato o más particularmente es aquel que navega por Internet, tropieza con una página de Hacking y descubre que existe un área de descarga de buenos programas de Hackeo. Después se baja todo lo que puede y empieza a trabajar con los programas. Al contrario que los Lamers, los Newbies aprenden el Hacking siguiendo todos los cautos pasos para lograrlo y no se mofa de su logro, sino que aprende. 3.3.8. Cript Kiddie Denominados también “Skid kiddie”, son el último eslabón de los clanes de la red. Se trata de simples usuarios de Internet, sin conocimientos sobre Hack o Crack en su estado puro. En realidad son devotos de estos temas, pero no los comprenden. Simplemente son ínternautas que se limitan a recopilar información. En realidad se dedican a buscar programas de Hacking y después los ejecutan, sin tener idea de sus consecuencias y muchas veces sus mismas computadoras se ven afectadas. Esta forma de actuar, es la de total desconocimiento del tema, lo que le lleva a probar y probar aplicaciones de Hacking.

3.4.

TIPOS DE ATAQUES

Existen diferentes técnicas y procedimientos al realizar un ataque, podemos identificar los siguientes:  Ingeniería social  Ingeniería social inversa  Shoulder surfing  Ataques de autenticación  Diccionarios  Negación de servicio  Modificación daño  Errores de diseño, implementación y operación

66

Antes de comenzar a definir cada uno de los tipos de ataque, cabe aclarar que en ellos se puede identificar claramente dos elementos el sujeto activo y el sujeto pasivo, este último sin saber que esta interactuando. 3.4.1. Sujeto activo De acuerdo al profesor chileno Mario Garrido Montt, (Nociones Fundamentales de la Teoría del Delito Edit. Jurídica de Chile, 1992) se entiende por tal quien realiza toda o una parte de la acción descrita por el tipo penal. Las personas que cometen los “Delitos Informáticos” son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos. Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que “entra” en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que “desvía fondos” de las cuentas de sus clientes. Edwin Sutherland, criminólogo norteamericano, en el año de 1943 señala que: “el sujeto activo del delito es una persona de cierto status socioeconómico, su comisión no puede explicarse por pobreza ni por mala habitación, ni por carencia de recreación, ni por baja educación, ni por poca inteligencia, ni por inestabilidad emocional”. 3.4.2. Sujeto pasivo El sujeto pasivo es la persona titular del bien jurídico que el legislador protege y sobre la cual recae la actividad típica del sujeto activo. En primer término tenemos que distinguir que sujeto pasivo ó víctima del delito es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo, y en el caso de los “delitos informáticos” las víctimas pueden ser individuos, instituciones crediticias, gobiernos, etcétera que usan sistemas automatizados de información, generalmente conectados a otros. El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los “delitos informáticos”, ya que mediante él podemos conocer los diferentes ilícitos que cometen los delincuentes informáticos, con objeto de prever las acciones antes

67

mencionadas debido a que muchos de los delitos son descubiertos casuísticamente por el desconocimiento del modus operandi de los sujetos activos. 3.4.3. Ingeniería social Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente -generalmente es así-, puede engañar fácilmente a un usuario -que desconoce las mínimas medidas de seguridad- en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y claves. 3.4.4. Ingeniería social inversa Este tipo de ataque se realiza para observar a la víctima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro. También es llamado Ataque de monitorización. 3.4.5. Shoulder Surfing Llamado también Señuelos (Decoy), Búsqueda, TCP Connect Scanning o TCP SYN Scanning. Cuando dos procesos establecen una comunicación usan el modelo Cliente/Servidor para establecer la conexión. La aplicación del Servidor "escucha" todo lo que ingresa por los puertos. 3.4.6. Ataques de autenticación Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y clave. También se le denomina TCP FIN Scanning-Stealth Port Scanning, Fragmentation Scanning y Eavesdropping-Packet Sniffing. 3.4.7. Diccionarios Los Diccionarios son archivos con millones de palabras, las cuales pueden ser claves utilizadas por los usuarios. Este archivo es utilizado para descubrir dicha clave en pruebas de fuerza bruta.

68

3.4.8. Negación de Servicio (DENIAL OF SERVICE, DoS) Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma. 3.4.9. Ataques de modificación-daño Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima (incluyendo borrado de archivos). Son particularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de ejecutar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. Aún así, si no hubo intenciones de “bajar” el sistema por parte del atacante; el Administrador posiblemente necesite darlo de baja por horas o días hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada. 3.4.10. Errores de diseño, implementación y operación Muchos sistemas están expuestos a "agujeros" de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de “puertas invisibles” son descubiertas (cada día) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y todas clase de servicios informático disponible.

69

4. MARCO CONTEXTUAL 4.1. ASPECTOS GENERALES DE LA CIUDAD DE PEREIRA Pereira es la capital del departamento de Risaralda. Fundada el 30 de agosto de 1863. El territorio que hoy ocupa la ciudad existió antes de la invasión y conquista hispánica que era habitado en ese entonces por los Quimbayas. Risaralda fue fundada en 1966 cuando se separó del departamento de Caldas.

Ilustración 9: Localización geográfica de Pereira

Fuente: turiscolombia.com/risaralda1.htm

LOCALIZACIÓN:

El Municipio de Pereira está localizado a 4 grados 49 minutos de latitud norte, 75 grados 42 minutos de longitud y 1.411 metros sobre el nivel del mar; en el centro

70

de la región occidental del territorio colombiano, en un pequeño valle formado por la terminación de un contra fuerte que se desprende de la cordillera central. Su estratégica localización central dentro de la región cafetera, lo ubica en el panorama económico nacional e internacional, estando unido vialmente con los tres centros urbanos más importantes del territorio nacional y con los medios tanto marítimos como aéreos de comunicación internacionales. Al Sur, con los municipios de Ulloa (Departamento del Valle), Filandia y Salento (Departamento del Quindío). LÍMITES:

Al Oriente, con el Departamento del Tolima, con Anzoategui, Santa Isabel, Ibagué y zona de los nevados. Al Occidente, con los municipios de Cartago, Anserma Nuevo (Departamento del Valle), Balboa, La Virginia (Departamento de Risaralda). POBLACIÓN:

Consta de 488.839 personas de las cuales 410.535 se encuentran en el área urbana localizadas en 19 comunas y 78.304 en el área rural en 12 corregimientos. GEOGRAFÍA:

El Municipio de Pereira cuenta con pisos térmicos que van desde las nieves perpetuas (Nevado de Santa Isabel a 5.200 mts / snm) en límites con el Departamento del Tolima, hasta pisos cálidos a 900 mts / snm y a orillas del rio Cauca. Por lo tanto, presenta distintas alternativas de uso agrícola. De hecho, existen áreas de bosques para protección de cuencas, zonas de diversificación y medias conocidas como la zona cafetera y zonas cálidas con actividad ganadera y agrícola (piña, caña de azúcar, caña panelera y pasto). La extensión geográfica municipal de Pereira es de 702 km2 y se encuentra a una altura promedio de 1.411 mts /snm y cuenta con una temperatura promedio de 21ºC. El suelo de Pereira se distribuye según sus climas así: Clima cálido el 9.9 %, clima medio el 60.7 %, clima frio el 11.5%, páramo 17.7%, su precipitación media anual es de 2.750 mm. CLIMA:

Esta característica climática y la conformación de los suelos, brinda también una variedad en la cobertura vegetal y paisajística, potencializando el municipio de Pereira con una de las biodiversidades más ricas de la nación. No obstante, la ciudad se presenta como zona de alta vulnerabilidad sísmica por el tipo de suelos que la conforman y por las fallas geológicas que la atraviesan.

71

4.2.

SITUACIÓN DE COLOMBIA Y DE LA CIUDAD DE

PEREIRA EN RELACIÓN A LOS DELITOS INFORMÁTICOS El Reporte Norton sobre Cibercrimen es uno de los estudios más grandes del mundo sobre delitos informáticos que afecta a los consumidores, se realiza en 24 países entre ellos Colombia, diseñado especialmente para comprender el efecto de los delitos informáticos sobre los consumidores y el impacto producido por la adopción y evolución de las nuevas tecnologías Estas son algunas de las cifras arrojadas por dicho informe en el año 2013:     

Aproximadamente cada segundo, 18 adultos son víctimas de un delito informático, es decir, un millón y medio de víctimas de delitos informáticos cada día, con pérdidas totales de 197 dólares por persona. En el año 2012, aproximadamente 556 millones de adultos en todo el mundo fueron víctimas de delitos informáticos. Esta cifra representa el 46% de los adultos que se conectan a internet. El costo de la delincuencia a nivel mundial fue de 113 mil millones de dólares. El costo promedio por víctima fue de 298 dólares, un 50% más que en el año 2012. El 83% de los costos financieros directos de las empresas son el resultado de fraude, reparaciones, robos y pérdidas. La escala de cibercrimen es de 378 millones de víctimas por año. Un millón de victimas por día.

Otras cifras importantes sobre seguridad informática a nivel mundial que se pueden destacar son: 



El 50% de las empresas en Latinoamérica sufrieron algún tipo de incidente relacionado con malware durante los últimos doce meses, según el Eset Security Report, informe que analiza el estado de la seguridad informática. El documento destacó que Colombia, Brasil, Ecuador, Perú, Venezuela, Bolivia y los países de Centro América estuvieron por encima del promedio de la región. Según David Agudelo, director de la Unidad Virtual de la Universidad Católica de Manizales, en el mundo el fraude electrónico deja perdidas por 761 millones de dólares.

En América Latina, según un estudio de MaTTica los delitos informáticos más comunes son: robo de secretos industriales, amenazas y difamación, fraudes y abuso de confianza, fraudes financieros, entre otros. El grafico muestra el porcentaje de ocurrencia de dichos delitos:

72

Ilustración 10: Porcentaje de ocurrencia de delitos informáticos en América latina

Fuente: issuu.com/yuliealejandra/docs/delitos_informaticos/1

Ahora bien, en Colombia el Informe Norton 2013 destaca los siguientes hallazgos:    

El 64% de los usuarios adultos ha experimentado algún crimen cibernético, unos 9,7 millones de personas, con unas pérdidas financieras de aproximadamente 79.180 millones de pesos. El 64% de los colombianos usa sus dispositivos móviles tanto para trabajar como para entretenerse, lo que genera nuevos riesgos de seguridad para las empresas ya que los cibercriminales podrían tener acceso a información aún más valiosa. En el año 2012 el costo total del crimen cibernético en el país fue de 873 mil 466 millones de pesos. El 42% de los usuarios de smartphones ha experimentado algún delito cibernético en el último año.

La empresa TopComm de Consultoría e Informes Especializados sobre el Sector de Telecomunicaciones e IT para América Latina, practicó una entrevista al Gerente del Centro de Operaciones de Seguridad Digiware y al Coordinador de Tecnología de la Cámara Colombiana de la Información y Telecomunicaciones, entidades expertas en seguridad informática en Colombia y estos son algunos apartes de sus declaraciones:  



Colombia es el noveno país en el mundo generador de spam para fraudes. Ocupa el quinto lugar en problemas de seguridad informática, después de Brasil, Argentina, Chile y Venezuela. Algo que destacar a este respecto es que en esta misma lista Colombia ocupa un lugar muy cerca de China y Rusia, algunos de los países con mejor infraestructura informática. En la región Andina, ocupa el primer lugar en materia de desarrollo de seguridad y el tercer lugar respecto a America del Sur.

73

En el evento Ack Security Conference, Hackeando la inseguridad, realizado en la ciudad de Manizales en marzo de 2012, David Agudelo, director de la Unidad Virtual de la Universidad Católica de Manizales y coordinador general de este proyecto dijo “lastimosamente Colombia está en el tercer lugar en el ranking en Latinoamérica, después de Brasil y México, en delitos informáticos, en especial en redes infectadas. La tendencia hace unos años en este tema era los virus, el spam como principales delitos de inseguridad informativa, pero eso ha cambiado”. Agregó que hoy en día la tendencia indica que el principal delito de seguridad informática es el fraude electrónico. Por otra parte, las estadísticas anuales de capturas, publicadas por la Policía Nacional, muestran que los delitos informáticos en Colombia han aumentado más que significativamente en los últimos años y, aunque estas cifras son de los años 2011 y 2012, lo lógico es suponer que, gracias a la masificación de las TIC (de la que ya se ha hablado reiteradamente), el número de personas que acceden a las nuevas tecnologías ha seguido aumentando y por lo tanto también el numero de víctimas. Ilustración 11: Aumento de delitos informáticos en Colombia en los últimos años

www.delitosinformaticos.info/delitos_informaticos/definicion.html

En lo referente a la ciudad de Pereira, no fue posible conseguir cifras exactas relativas a los delitos informáticos, sin embargo, en el marco del Día Mundial de la Seguridad en Internet, la Fiscalía en Risaralda reportó que “en el segundo semestre de 2013 y en lo corrido de 2014, el CTI recibió 127 denuncias por delitos informáticos”, los que ya están en proceso de investigación, dijo el director, Jorge Mario Trejos. También reporta que la mayor incidencia es de hurtos informáticos, con 97 casos reportados, seguido por acceso abusivo a cuentas con 24 casos, 4 violaciones de datos y 2 interceptaciones de datos. Dijo además, en palabras textuales “También hemos identificado situaciones de matoneo a través de las redes sociales pero son casos que las victimas no denuncian, por lo que no podemos actuar efectivamente pero es una conducta que también castiga la ley” (RCN, 2014).

74

4.3.

LABORATORIOS DE INFORMÁTICA FORENSE EN

COLOMBIA La informática forense es una ciencia relativamente nueva en Colombia y por lo mismo, la implementación de laboratorios especializados no es muy común. La Fiscalía General de la Nación dotó en el año 2012, a las seccionales del CTI de las ciudades de Medellín, Bucaramanga, Bogotá, Pereira y Cali, de laboratorios de informática forense con el fin de “recoger evidencia digital, recuperar archivos, imágenes y correos escondidos en el disco duro de un procesador y detectar alteraciones en los mismos. Estamos hablando del manejo de una evidencia más segura con miras a su presentación ante los jueces en el Sistema Acusatorio”, dice la ingeniera del CTI María Rosalba Pinzón (FISCALIA, 2012). En la actualidad, de manera independiente, solo se tiene evidencia de dos laboratorios de informática forense en la zona del eje cafetero y otro en Bogotá, los cuales son los únicos encargados de dar soporte a este tipo de situaciones en todo el país, aunque su campo de acción se puede ser no solo a nivel local, sino también nacional e internacional: 

Empresa: Laboratorio de informática forense de la Fiscalía General de la Nación. Seccional Pereira. Ciudad: Pereira - Risaralda. Colombia.



Empresa: ITForensic Ltda. Ciudad: Manizales - Caldas. Colombia.



Empresa: Laboratorio de informática forense de la Policía Nacional. Ciudad: Medellín – Antioquia.



Empresa: Mattica. Ciudad: DC. Santa fe de Bogotá – Cundinamarca. Colombia.



Empresa: Informática forense. Ciudad: Chacao – Caracas. Venezuela.

4.4.

PROYECTOS RELACIONADOS

Hasta el momento no se tiene evidencia de otros proyectos con este mismo enfoque, sin embargo se continuaran realizando indagaciones para determinar la existencia de algún trabajo similar.

75

Como se puede observar el tema de la informática forense es relativamente nuevo en nuestro país, es un campo en donde apenas, Colombia está realizando grandes esfuerzos para ponerse a la vanguardia en temas de seguridad informática, sin embargo falta mucha tela por cortar, hablándolo en términos coloquiales.

4.4.1. Noticias relacionadas con los delitos informáticos A continuación se hace una relación de varios sucesos nacionales e internacionales, relacionados con la ciber-delincuencia, que permiten dar una idea clara de la importancia de tratar este tema y específicamente de sacar adelante esta propuesta. Gobierno identifica 40 'ollas virtuales' para la venta de drogas - 31 de marzo de 2014 Bogotá. El Viceministro de Justicia, Miguel Samper Strauss, reveló que las autoridades colombianas han detectado 40 'ciber ollas' u 'ollas' virtuales para la venta de alucinógenos. Según Samper, bajo esta modalidad, se venden a domicilio, principalmente, drogas sintéticas. "Estas redes son difíciles de detectar, aun así el gobierno ha logrado identificar y bloquear 4 páginas que eran utilizadas para este flagelo", dijo el Viceministro Samper. El funcionario explicó que muchas de estas páginas tienen su plataforma en el exterior y su movimiento de dinero es muy difícil de calcular. “Estas 'ollas' funcionan a través de la adquisición de una moneda virtual, ingresan a espacios donde la oferta y la demanda de sustancias ilícitas se cruzan, funcionan muy similar a esas páginas con las que antiguamente se bajaba música ilegal", manifestó Miguel Samper. La Policía, mediante herramientas tecnológicas, realiza el trabajo de identificar los sitios donde están alojadas esas páginas para cerrarlas. Esta información la entregó el Viceministro de Justicia durante la instalación de la Misión de Asistencia Técnica de Seguridad Cibernética, convocada por la OEA para analizar las amenazas que en materia de tecnologías y ciberdefensa tiene hoy Colombia (http://www.eltiempo.com/noticias/delitos-informaticos). ‘Hacker’ fue enviado a la cárcel en Valledupar - 19 de mayo de 2014 - Valledupar (Cesar). Por el delito de acceso abusivo a un sistema informático y uso de software malicioso, fue asegurado con medida privativa de la libertad en una cárcel de Valledupar (Cesar), Óscar Eliécer Peñaloza Anteliz. El asegurado fue sorprendido por investigadores del CTI Magdalena, con apoyo de la Dirección Nacional de Policía Judicial del Crimen Organizado y de la Oficina de

76

Informática Forense de Barranquilla (Atlántico) y Valledupar (Cesar) mediante diligencia de allanamiento y registro en el barrio Club House de la capital cesarense, por solicitud de la Fiscalía 48 Especializada. Los investigadores tenían en la mira a una organización criminal denominada Los Hackers Vallenatos, quienes se dedicaban al hurto de dinero a través de medios informáticos y electrónicos, de los que fueron víctimas los cuentahabientes de diferentes bancos, utilizando cuatro modalidades así: 1. Banca Móvil: a través de la cual los delincuentes realizan transacciones con celulares. 2. Transferencias electrónicas: con información de las víctimas realizan transferencias a través de Internet a terceros. 3. Bloqueos de líneas del titular: en la que los delincuentes bloquean las líneas de los cuentahabientes haciéndose pasar por ellos y cuando la entidad crediticia llama a confirmar los datos de la transacción, quienes contestan son los de la organización criminal para autorizar la transacción. 4. Pago de servicios públicos y aportes parafiscales: los delincuentes una vez ‘hackean’ las cuentas de las víctimas, pagan servicios públicos y aportes parafiscales a terceros, obteniendo dinero en efectivo a través de Internet desde la cuenta de las víctimas. Los integrantes de este grupo delincuencial tenían su centro de operaciones en Valledupar y sus víctimas, la mayoría, son de Cesar y de la región del Magdalena Medio. Durante el allanamiento se les incautó tres (3) computadores marca Toshiba, cuatro (4) memorias USB, 6 routers de Internet, tres (3) mini Wi-Fi y 21 sim card.

Desarticulan banda que habría hurtado 30.000 millones de pesos a través de medios electrónicos - 22 de febrero de 2014 – Bogotá. Miembros del Cuerpo Técnico de Investigación (CTI) de la Fiscalía capturaron a 17 integrantes de una organización criminal dedicada al hurto de dinero a través de medios informáticos y electrónicos, en una operación realizada en cuatro ciudades del país. La operación, denominada Piratas del Caribe, se realizó simultáneamente en Bogotá, Barranquilla, Santa Marta e Ibagué, desde donde los presuntos delincuentes, mediante cinco modalidades, desviaban el dinero de los clientes de las entidades bancarias a cuentas corrientes y de ahorro abiertas a nombre de ellos y de terceros. En los allanamientos se incautaron de gran cantidad de material probatorio como documentos de identidad falsificados y hurtados, equipos de cómputo, memorias USB, sim

77

card, teléfonos celulares, tarjetas débito y crédito, registros de bancos, varias consignaciones y claves de tarjetas débito, entre otros. La investigación determinó que la banda habría participado en por lo menos 46 casos con el mismo modo de operación. Los bancos han informado que por lo menos 30 mil millones de pesos han sido sustraídos de las cuentas de sus clientes desde el año 2009. Durante ese lapso, la organización criminal desarrolló una serie de métodos para cometer los hurtos a los cuentahabientes y a los bancos. En total, se han descubierto cinco sistemas para robar. 1. Transferencias electrónicas: En este modus operandi, los ciber-delincuentes se apoderan de la información de la cuenta de la víctima y la transfieren a través de internet a diversas cuentas de terceros denominados Pitufos, quienes son ubicados por reclutadores para que posteriormente hagan retiros en cajeros electrónicos o en las cajas de los bancos. 2. Banca Móvil: En esta modalidad los delincuentes se apoyan en la orden del gobierno nacional de bancarizar a la mayor parte de la población. Compran diferentes sim cards de los diferentes operadores de telefonía móvil y posteriormente transfieren el dinero a estos números de celular. Después se ingresa por la aplicación banca móvil del teléfono celular, se accede a un código previamente generado por el banco y se retira el dinero en cajero electrónico, con la ventaja que no deja trazabilidad en los retiros. 3. Bloqueo de línea del titular: Gracias a un servicio prestado por las entidades financieras, el cuentahabiente recibe información de sus operaciones bancarias mediante mensajes de texto a su celular. Los delincuentes, al parecer gracias a la información obtenida de las centrales de riesgo (CIFIN, DATA CREDITO), se apoderan de los datos personales de la víctima, atacan la cuenta y bloquean ante el operador celular la línea del afectado y posteriormente reponen la sim card, de esa forma cuando la entidad crediticia llama a confirmar la transacción, los que contestan son los de la organización criminal, que ya posee todos los datos de verificación de la víctima. 4. Pago de servicios públicos y aportes parafiscales: Los delincuentes, una vez hackean la cuenta de la víctima, ubican centros de recaudo o de pago de servicios y, a cambio de una comisión, reciben el efectivo para posteriormente hacer todos los pagos de servicios públicos y/o aportes parafiscales desde la cuenta de la víctima a través de los servicios de internet de los bancos. 5. Suplantación del titular: Una vez se apoderan de la cuenta bancaria del titular, las cuales por lo generar son de alto valor. Esto se consigue con la probable colaboración de empleados de los bancos. Los delincuentes falsifican la cédula de ciudadanía del titular cambiando la foto y huella por la de la persona que se presenta en el banco (suplantadores). Allí manifiestan la perdida de la tarjeta débito y

78

efectúan la reposición de la misma. Posteriormente, retiran todo el dinero que reposa en la cuenta a través de la ventanilla del mismo banco. Asegurado por hurto por medios informáticos - 29 de mayo de 2012 – Bucaramanga. Después de aceptar su responsabilidad en el delito de hurto por medios informáticos imputado por la Fiscalía, un juez con funciones de control de garantías de Bucaramanga (Santander) dictó medida de aseguramiento a Juan Pablo Reyes Caicedo. De acuerdo a la investigación del Grupo de Delitos Informáticos del Cuerpo Técnico de Investigación, CTI, el 29 de abril de 2009 fueron sustraídos de la cuenta bancaria de Carmen Robles Niño la suma de $38.383.862. Tal dinero fue utilizado para pagar cuentas de servicios públicos, y de telefonía celular. Uno de los beneficiados es el hoy asegurado, quien recibió siete transacciones por un total de $10.460.000. La investigación que duró más de tres años terminó con la captura en Chapinero de Bogotá de Reyes Caicedo, quien fue trasladado a la Cárcel Modelo de Bucaramanga para cumplir con la medida de aseguramiento (http://www.fiscalia.gov.co/colombia/tag/delitosinformaticos/). Como ya se ha dicho, los avances técnicos que se han venido implementando en materia de la informática a nivel mundial ha suscitado diversas variaciones en el ámbito jurídico de un país, caso puntual son las modificaciones a las que se ha visto expuesto el Código Penal de Colombia, en su Ley 1273 de 2009 la cual será objeto de estudio en un capitulo posterior.

79

5. MARCO LEGAL 5.1. LEGISLACIÓN NACIONAL La Ley 1273 de 2009 complementa el Código Penal y crea un nuevo bien jurídico tutelado a partir del concepto de la protección de la información y de los datos, con el cual se preserva integralmente a los sistemas que utilicen las tecnologías de la información y las comunicaciones. El primer capítulo de los dos en que está dividida la Ley, trata de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos. El segundo Capítulo se refiere a los atentados informáticos y otras infracciones. A partir de la Ley 1273 de 2009, se tipificaron los delitos informáticos en Colombia en los siguientes términos: acceso abusivo a un sistema informático (modificado del Código Penal); obstaculización ilegítima del sistema informático o red de telecomunicación; interceptación de datos informáticos; daño informático; uso de software malicioso; hurto por medios informáticos y semejantes; violación de datos personales; suplantación de sitios web para capturar datos personales y transferencia no consentida de activos. Este marco jurídico se ha convertido en una importante contribución y un instrumento efectivo para que las entidades públicas y privadas puedan enfrentar los “delitos informáticos”, con definiciones de procedimientos y políticas de seguridad de la información; y, en consecuencia, con las acciones penales que pueden adelantar contra las personas que incurran en las conductas tipificadas en la norma. Con ella, Colombia se ubica al mismo nivel de los países miembros de la Comunidad Económica Europea (CEE), los cuales ampliaron al nivel internacional los acuerdos jurídicos relacionados con la protección de la información y los recursos informáticos de los países, mediante el Convenio ‘Cibercriminalidad’, suscrito en Budapest, Hungría, en 2001 y vigente desde julio de 2004. Con los desarrollos jurídicos hasta ahora logrados acerca de “la protección de la información y de los datos y la preservación integral de los sistemas que utilicen las tecnologías de información y comunicaciones”, las organizaciones pueden amparar gran parte de sus sistemas integrados de información: datos, procesos, políticas, personal, entradas, salidas, estrategias,

80

cultura corporativa, recursos de las TIC y el entorno externo (Davenport, 1999), de manera que, además de contribuir a asegurar las características de calidad de la información, se incorpora la administración y el control, en el concepto de protección integral. Retomando la estructura de la Ley 1273 de 2009, el capítulo I está orientado especialmente a apoyar la labor de los grupos de Auditoría de Sistemas, al apuntar al propósito de aseguramiento de las condiciones de calidad y seguridad de la información en la organización, cuando se refiere a los “atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos”. Corrobora la importancia de la información como activo de valor para las organizaciones (ISO/IEC 17799/2005), que es necesario proteger adecuadamente para garantizar la continuidad del negocio, la maximización del retorno de la inversión y el aprovechamiento de las oportunidades del entorno, así como para disminuir y contrarrestar los riesgos y delitos que la amenazan. La gestión confiable de la seguridad de la información en las organizaciones parte del establecimiento de políticas, estándares, procedimiento y controles eficientes, en natural concordancia con las características del negocio y, en ese sentido, el capítulo I de la Ley 1273 de 2009 contribuye a tal propósito, de la misma manera que los estándares nacionales e internacionales sobre administración eficiente de la información. El artículo 1 de la Ley 1273 de 2009 incorpora al Código Penal el Artículo 269A y complementa el tema relacionado con el “acceso abusivo a un sistema informático”, que se manifiesta cuando el pirata informático o hacker aprovecha la vulnerabilidad en el acceso a los sistemas de información, o las deficiencias en los procedimientos de seguridad informática establecidos por las organizaciones, para extraer beneficios económicos o para indagar o demostrar la capacidad y recursos que ofrece la tecnología de la información. Cuando se presenta este abuso, en muchos casos, se observa que proviene de los mismos usuarios del sistema, tal como se evidencia en los informes anuales de la Pricewaterhouse Coopers, The global state information security y en estudios realizados por Cisco (2008), en los cuales se señala que el 42% de los tres casos de abuso más frecuentes corresponde a los detectados entre los empleados. El artículo 269B contempla como delito la “obstaculización ilegítima del sistema informático o red de telecomunicación”, y se origina cuando el hacker informático bloquea en forma ilegal un sistema o impide su ingreso por un tiempo, hasta cuando obtiene un beneficio por lo general económico. Aquí también se enmarca el acceso a cuentas de correo electrónico sin el debido consentimiento de sus propietarios y el manejo o bloqueo de las claves obtenidas de distinta forma. El artículo 269C plantea la infracción relacionada con la “interceptación ilícita de datos informáticos”, también considerada en el Artículo 3 del Título 1 de la Convención de Budapest de 2001. Se presenta cuando una persona, valiéndose de los recursos tecnológicos, obstruye datos sin autorización legal, en su sitio de origen, en el destino o en el interior de un sistema informático, o de emisiones electromagnéticas de un sistema electromagnético que los transporte.

81

El delito relacionado con los “daños informáticos” está contemplado en el Artículo 269D y se comete cuando una persona que sin estar autorizada, modifica, altera, daña, borra, destruye o suprime datos del programa o de documentos electrónicos, en los recursos de las TIC. El artículo 269E contempla el delito vinculado con el “uso de software malicioso” técnicamente denominado malware, ya generalizado en internet. Se presenta cuando se producen, adquieren, venden, distribuyen, envían, introducen o extraen del país software o programas de computador que producen daños en los recursos de las TIC. El delito sobre “violación de datos personales” (hacking) lo trata el artículo 269F y está orientado a proteger los derechos fundamentales de la persona (como dignidad humana y libertad ideológica). Se da cuando un individuo sin estar facultado, sustrae, vende, envía, compra, divulga o emplea datos personales almacenados en ficheros, archivos, bases de datos o medios similares con el fin de lograr utilidad personal o para otros. El artículo 269G trata de la “suplantación de sitios web para capturar datos personales”. Sucede cuando el suplantador (pisher) o delincuente informático crea una página y un dominio similar al de la entidad a la cual desea abordar, lo ubica en un hosting (espacio en un servidor) desde donde envía correos spam o engañosos (por ejemplo, empleos). Al no distinguir la página original de la falsa, las personas inocentemente suministran información personal y claves bancarias que el suplantador almacena en una base de datos y luego ordena la transferencia del dinero de la víctima a cuentas de terceros quienes prestan sus cuentas o servicios (testaferros), que luego reclama o distribuye. Las “Circunstancias de agravación punitiva”, o aquellas situaciones que por agravantes aumentan la pena del delito (Artículo 269H/Ley 1273 de 2009). Estas condiciones se dan cuando el delito se comete en redes, sistemas informáticos y de comunicaciones del Estado o del sector financiero nacional o extranjero; o cuando se origina o promueve por un funcionario público; o cuando se da a conocer información confidencial en perjuicio de otro para obtener provecho propio o de terceros; o cuando se actúa con fines terroristas para atentar contra la seguridad o defensa nacional, o cuando se usa como instrumento a un tercero de buena fe. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales. Es de anotar que estos tipos penales obligan tanto a empresas como a personas naturales a prestar especial atención al tratamiento de equipos informáticos así como al tratamiento de los datos personales más teniendo en cuenta la circunstancia de agravación del inciso 3 del artículo 269H que señala “por quien tuviere un vínculo contractual con el poseedor de la información”. Por lo tanto, se hace necesario tener unas condiciones de contratación, tanto con empleados como con contratistas, claras y precisas para evitar incurrir en la tipificación penal.

82

Si la conducta descrita en los incisos del artículos 269: 269I: hurto por medios informáticos y semejantes y Artículo 269J: transferencia no consentida de activos. tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad. Así mismo, la Ley 1273 agrega como circunstancia de mayor punibilidad en el artículo 58 del Código Penal el hecho de realizar las conductas punibles utilizando medios informáticos, electrónicos ó telemáticos. Como se puede apreciar, la Ley 1273 es un paso importante en la lucha contra los delitos informáticos en Colombia, por lo que es necesario que se esté preparado legalmente para enfrentar los retos que plantea. En este sentido y desde un punto de vista empresarial, la nueva ley pone de presente la necesidad para los empleadores de crear mecanismos idóneos para la protección de uno de sus activos más valiosos como lo es la información. Las empresas deben aprovechar la expedición de esta ley para adecuar sus contratos de trabajo, establecer deberes y sanciones a los trabajadores en los reglamentos internos de trabajo, celebrar acuerdos de confidencialidad con los mismos y crear puestos de trabajo encargados de velar por la seguridad de la información. Por otra parte, es necesario regular aspectos de las nuevas modalidades laborales tales como el teletrabajo o los trabajos desde la residencia de los trabajadores los cuales exigen un nivel más alto de supervisión al manejo de la información. Asimismo, resulta conveniente dictar charlas y seminarios al interior de las organizaciones con el fin de que los trabajadores sean consientes del nuevo rol que les corresponde en el nuevo mundo de la informática. Lo anterior, teniendo en cuenta los perjuicios patrimoniales a los que se pueden enfrentar los empleadores debido al uso inadecuado de la información por parte de sus trabajadores y demás contratistas. Pero más allá de ese importante factor, con la promulgación de esta ley se obtiene una herramienta importante para denunciar los hechos delictivos a los que se pueda ver afectado, un cambio importante si se tiene en cuenta que anteriormente las empresas no denunciaban dichos hechos no sólo para evitar daños en su reputación sino por no tener herramientas especiales.

5.2.

  

MARCO NORMATIVO DE LA CADENA DE CUSTODIA Constitución Política de Colombia Artículos: 15, 29, 209, 228, 249, 250,251 y 253. (con las modificaciones introducidas por el Acto Legislativo 03de diciembre de 2002). Ley 30 de 1986, Por la cual se adopta el Estatuto Nacional de estupefacientes y se dictan otras disposiciones. Ley 99 de 1993, Por la cual se crea el Ministerio del Medio Ambiente, se reordena el Sector Público encargado de la Gestión y conservación del medio ambiente y los recursos naturales renovables, se organiza el sistema Nacional Ambiental, SINA, y se dictan otras disposiciones.

83

 

   

        

Ley 270 de 1996, Estatutaria de la administración de justicia, título I; artículo 153 (deberes de los funcionarios y empleados). Ley 397 de 1997, Por la cual se desarrollan los artículos 70, 71 y 72 y demás artículos concordantes de la Constitución Política y se dictan normas sobre patrimonio cultural, fomentos y estímulos a la cultura, se crea el Ministerio de la Cultura y se trasladan algunas dependencias. Ley 418 de 1997, Por la cual se consagran unos instrumentos para la búsqueda de la convivencia, la eficacia de la justicia y se dictan otras disposiciones. Ley 600 de 2000 (Código de Procedimiento Penal), artículos 27, 232, 233, 241, 244, 245, 249, 251, 254, 255, 256, 257, 288, 289, 290, 314, 315,317, 318, 319, 320, 321, 329, 345 y demás concordantes. Ley 906 de 2004 (Código de Procedimiento Penal), artículos 67, 114, 208,213, 214, 215, 216, 254, 255, 256, 257, 258, 259, 260, 261, 262, 263,264, 265, 266, 268, 276, 277, 278, 279, 280, 281, 484, 485. Ley 489 de 1998, por la cual se dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras disposiciones. Ley 678 de 2001, por medio de la cual se reglamenta la determinación de responsabilidad patrimonial de los agentes del Estado a través del ejercicio de la acción de repetición o de llamamiento en garantía con fines de repetición. Decreto 2811 de 1974, por el cual se adopta el Código Nacional de Recursos Naturales Renovable. Decreto 786 de 1990, por el cual se reglamenta la práctica de autopsiasen el territorio nacional. Decreto 300 de 1993, Por el cual se establecen unas obligaciones para los Distribuidores Mayoristas, Distribuidores Minoristas y Transportadores de Combustibles Blancos derivados del Petróleo. Decreto 2113 de 1993, Por el cual se modifica y adiciona algunos artículos del Decreto 300 de 1993. Decreto 1503 de 2002, por el cual se reglamenta la marcación de los combustibles líquidos derivados del petróleo en los procesos de almacenamiento, manejo, transporte y distribución". Decreto 1521 de 1998, por la cual se consagran unos instrumentos para la búsqueda de la convivencia, la eficacia de la justicia y se dictan otras disposiciones. Decreto 261 de 2000, por el cual se modifica la estructura de la Fiscalía General de la Nación y se dictan otras disposiciones. Decreto 2535 de 1993, por el cual se expiden normas sobre armas, municiones y explosivos.

84

 

 

Acuerdo 002 de 1999 del Consejo Nacional de Policía Judicial, mediante el cual se adopta el manual de procedimientos para la prueba de identificación homologada de sustancias sometidas a fiscalización. Resolución 0-0646, del 31 de mayo de 2001, de la Fiscalía General de la Nación, por medio de la cual se fijan las directrices para la ejecución de programas de mejoramiento institucional, oficialización de manuales de procesos y procedimientos administrativos, operativos y de funciones y en general sobre todo lo relacionado con el desarrollo organizacional de la Fiscalía General de la Nación. Resolución 1890, de noviembre 5 de 2002, de la Fiscalía General de la Nación, por medio de la cual se reglamenta el artículo 288 de la Ley 600 de 2001. Resolución 0-2869 de diciembre 29 de 2003, de la Fiscalía General de la Nación, por medio de la cual se adoptó el manual de procedimientos de cadena de custodia.

5.3. LEGISLACIÓN INTERNACIONAL

En este apartado, se traerán a colación algunas legislaciones de una manera muy breve y concisa que pueden servir o sirvieron de base para la ley que actualmente manejamos en esta área. En el continente americano encontramos leyes de países como: Brasil. A partir del 2 de abril del 2013 comenzó a regir la ley contra delitos informáticos, sancionada por la Presidente Dilma Rousseff en diciembre de 2012. La legislación, hasta ahora inédita, tipifica diversos crímenes relacionados con la información personal almacenada en computadoras y prevé penas de seis meses a dos años de prisión por violar correos electrónicos que contengan información y datos de carácter confidencial, ya sean de naturaleza privada o comercial. Entre otras disposiciones, también prevé la pena de tres meses a un año de prisión, además de multa, para quien “invada sistemas informáticos ajenos con el fin de obtener, adulterar o destruir datos o información sin autorización explícita”. Se aplicará la misma pena a quien produzca, ofrezca o venda programas que permitan la invasión de sistemas y computadoras ajenas. Para los casos en los que se interrumpan servicios, como sucedió en el año 2011, en el mayor ataque sufrido por órganos gubernamentales en el país que incluyó a sitios de la Presidencia de la República y del Ejército, la pena varía de uno a tres años de prisión. El proyecto de ley comenzó luego de un episodio ocurrido en mayo de 2012 en el que una actriz brasileña, Carolina Dieckmann, fue víctima de chantaje, luego de que 36 de sus fotos personales fueran hackeadas de su computadora y exhibidas en distintos sitios.

85

Antes de esta ley, los delitos informáticos perpetrados en Brasil no estaban tipificados pero, por analogía, se trataban como crímenes de violación de la comunicación, aunque esto daba lugar a interpretaciones dudosas y sanciones penales más leves. Argentina. En Argentina, los delitos que tienen como medio de ejecución a Internet y a las nuevas tecnologías se tipificaron penalmente a partir del 4 de Junio del 2008, con la aprobación de la ley 26.388. Esta Ley modifica el Código Penal Argentino para incluir los delitos informáticos y sus respectivas penas. A continuación se presenta de forma más amena al lector los delitos afectados por la ley y el alcance de la misma. Es importante señalar que las penas son principalmente aplicables a delitos dolosos, es decir, que se hacen a sabiendas, con intención, conocimiento previo y sin derecho a hacerlo, por lo que los “errores” no van a ser penados. Gracias a su sanción entraron en la órbita de la ilegalidad delitos como la pornografía infantil distribuida a través de la Web, la estafa vía Internet, Violación de correo electrónico, acceso ilegítimo a sistemas informáticos, daño informático y distribución de virus, daño informático agravado, Interrupción de comunicaciones. Chile Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos Informáticos. La ley 19223 publicada en el Diario Oficial (equivalente del Boletín Oficial argentino) el 7 de junio de 1993 señala que la destrucción o inutilización de un sistema de tratamiento de información puede ser castigado con prisión de un año y medio a cinco. Como no se estipula la condición de acceder a ese sistema, puede encuadrarse a los autores de virus. Si esa acción afectara los datos contenidos en el sistema, la prisión se establecería entre los tres y los cinco años. El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de apoderarse, usar o conocer de manera indebida la información contenida en éste, también es pasible de condenas de hasta cinco años de cárcel; pero ingresar en ese mismo sistema sin permiso y sin intenciones de ver su contenido no constituye delito. Dar a conocer la información almacenada en un sistema puede ser castigado con prisión de hasta tres años, pero si el que lo hace es el responsable de dicho sistema puede aumentar a cinco años. Esta ley es muy similar a la inglesa aunque agrega la protección a la información privada. México El 28 de marzo de 2012, el Pleno de la Cámara de Diputados aprobó una iniciativa que reforma y adiciona diversas disposiciones del Código Penal Federal en el Titulo Noveno

86

“Revelación de Secretos y Acceso Ilícito a Sistemas y Equipos de Informática” en las que se establece la tipificación como delitos informáticos, de ciertas conductas que van en contra de los medios o sistemas informáticos, en contra del patrimonio, la seguridad de las personas y de las instituciones del Estado e instituciones financieras en particular, cometidos mediante el uso de dichos sistemas. En las reformas merece especial atención el tratamiento que se da a los delitos que afectan los derechos de menores de edad y de personas que no tienen capacidad de comprender el significado de un hecho, o bien que no tienen capacidad para resistirlo. En este rubro se incluye la tipificación de delitos como pornografía infantil, trata de personas, turismo sexual y corrupción de menores, duplicando la pena convencional cuando para cometer delitos de esta naturaleza se empleen recursos informáticos. Adicionalmente, impone sanciones más severas a quien emplee sistemas y medios informáticos en delitos como las amenazas y e ilícitos patrimoniales como la extorsión y el fraude, así como los beneficios que de éste se obtengan. Actualmente, la creación de sitios falsos para que los usuarios revelen datos privados, bancarios y contraseñas, conocido como Phishing, es de alta incidencia en México y en el mundo. Se penalizan también el acceso y la intervención ilícitas en medios y sistemas informáticos, el robo de identidad y la utilización indebida de dispositivos para tales fines, en el caso de que dichas actividades atenten en contra de sistemas informáticos del Estado, del sistema financiero, o de cualquier otra institución o persona. El decreto señala, finalmente, penas específicas a quien haga uso de medios electrónicos del sistema financiero en delitos vinculados con el lavado de dinero y el encubrimiento de las operaciones con recursos de procedencia ilícita, brazo fundamental de las operaciones de la delincuencia organizada. Estados Unidos Cabe mencionar, la adopción en los Estados Unidos en 1994 del Acta Federal de Abuso Computacional (18 U.S.C. Sec. 1030). Que modificó al Acta de Fraude y Abuso Computacional de 1986. Dicha acta define dos niveles para el tratamiento de quienes crean virus estableciendo para aquellos que intencionalmente causan un daño por la transmisión de un virus, el castigo de hasta 10 años en prisión federal más una multa y para aquellos que lo transmiten sólo de manera imprudencial la sanción fluctúa entre una multa y un año de prisión. En opinión de los legisladores estadounidenses, la nueva ley constituye un acercamiento más responsable al creciente problema de los virus informáticos; específicamente no definiendo a los virus sino describiendo el acto para dar cabida en un futuro a la nueva era de ataques tecnológicos a los sistemas informáticos en cualquier forma en que se realicen.

87

Diferenciando los niveles de delitos, la nueva ley da lugar a que se contemple que se debe entender como acto delictivo. Francia Ley número 88-19 de 5 de enero de 1988 sobre el fraude informático. Las disposiciones penales están contempladas en sus numerales del 41 al 44, los cuales contemplan lo siguiente: Artículo 41" El que hubiere procedido o mandado proceder a la realización de tratamientos automatizados de información nominativa sin que hubieran sido publicados los actos reglamentarios previstos en el artículo 15 o formuladas las denuncias previstas en el artículo 16, supra, será castigado con pena de privación de libertad de seis meses a tres años y con pena de multa de 2 000 a 200 000 francos, o con una sola de estas dos penas. Asimismo, el tribunal podrá ordenar la inserción de la sentencia, literalmente o en extracto, en uno o varios periódicos diarios, así como su fijación en tablón de edictos, en las condiciones que determinare y a expensas del condenado". Artículo 42 " El que hubiere registrado o mandado registrar, conservando o mandando conservar informaciones nominativas con infracción de las disposiciones de los artículos 25, 26 y 28, será castigado con pena de privación de libertad de uno a cinco años y con pena de multa de 20000 a 2000000 francos, o con una de estas dos penas. Asimismo, el tribunal podrá ordenar la inserción de la sentencia, literalmente o en extracto, en uno o varios periódicos diarios, así como su fijación en tablón de edictos en las condiciones que determine, y a expensas del condenado. Artículo 43. "El que habiendo reunido, con ocasión de su registro, de su clasificación, de su transmisión o de otra forma de tratamiento, informaciones nominativas cuya divulgación tuviere como efecto atentar contra la reputación o la consideración de la persona o la intimidad de la vida privada; hubiere, sin autorización del interesado y a sabiendas, puesto tales informaciones en conocimiento de una persona que no estuviere habilitada para recibirlas a tenor de las disposiciones de la presente ley o de otras disposiciones legales, será castigado con pena de privación de libertad de dos a seis meses y con pena de multa de 2000 a 20000 francos, o con una de las dos penas. El que por imprudencia o negligencia, hubiere divulgado o permitido divulgar informaciones de la índole de las que se mencionan en el párrafo anterior, será castigado con pena de multa de 2000 a 20000 francos. Artículo 44 "El que, disponiendo de informaciones nominativas con ocasión de su registro, de su clasificación, de su transmisión o de otra forma de tratamiento las hubiere desviado de su finalidad, según la misma hubiera sido definida, bien en el acto reglamentario previsto en el artículo 15, supra, o en las denuncias formuladas en aplicación de los artículos 16 y 17, bien en una disposición legal, será castigado con pena de privación de libertad de uno a cinco años y con multa de 20000 a 2000000 francos". Italia

88

En un país con importante tradición criminalista, como Italia, nos encontramos tipificados en su Código Penal los siguientes delitos: a) Acceso Abusivo. Se configura exclusivamente en caso de sistemas informáticos y telemáticos protegidos por dispositivos de seguridad (contraseñas o llaves de hardware) que indiquen claramente la privacidad del sistema y la voluntad del derechohabiente de reservar el acceso a aquél sólo a las personas autorizadas. La comisión de este delito se castiga con reclusión de hasta tres años, previendo agravantes. b) Abuso de la calidad de operador de sistemas. Este delito es un agravante al delito de acceso abusivo y lo comete quien tiene la posibilidad de acceder y usar un sistema informático o telemático de manera libre por la facilidad de la comisión del delito. c) Introducción de virus informáticos. Es penalmente responsable aquel que cree o introduzca a una red programas que tengan la función específica de bloquear un sistema, destruir datos o dañar el disco duro, con un castigo de reclusión de hasta dos años y multas considerables. d) Fraude Informático.- Cuando por medio de artificios o engaños, induciendo a otro a error, alguien procura para sí o para otros un injusto beneficio, ocasionando daño a otro. También se entiende como tal la alteración del funcionamiento de sistemas informáticos o telemáticos o la intervención abusiva sobre datos, informaciones o programas en ellos contenidos o pertenecientes a ellos, cuando se procure una ventaja injusta, causando daño a otro. La punibilidad de este tipo de delito es de meses a tres años de prisión, más una multa considerable. e) Intercepción abusiva.- Es un delito que se comete junto con el delito de falsificación, alteración o supresión de comunicaciones telefónicas o telegráficas. Asimismo, es la intercepción fraudulenta, el impedimento o intrusión de comunicaciones relativas a sistemas informáticos o telemáticos, además de la revelación al público, mediante cualquier medio, de la información, de esas publicaciones; este delito tiene una punibilidad de 6 meses a 4 años de prisión. Asimismo, se castiga el hecho de realizar la instalación de equipo con el fin anterior. f) Falsificación informática. Es la alteración, modificación o borrado del contenido de documentos o comunicaciones informáticas o telemáticas. En este caso, se presupone la existencia de un documento escrito (aunque se debate doctrinariamente si los documentos electrónicos o virtuales pueden considerarse documentos escritos). En este caso, la doctrina italiana tiene muy clara la noción de "documento informático", al cual define como cualquier soporte informático que contenga datos, informaciones o programas específicamente destinados a elaborarlos. g) Espionaje Informático.- Es la revelación del contenido de documentos informáticos secretos o su uso para adquirir beneficios propios, ocasionado daño a otro.

89

h) Violencia sobre bienes informáticos. Es el ejercicio arbitrario, con violencia, sobre un programa, mediante la total o parcial alteración, modificación o cancelación del mismo o sobre un sistema telemático, impidiendo o perturbando su funcionamiento. i) Abuso de la detentación o difusión de Códigos de acceso (contraseñas). j) Violación de correspondencia electrónica, la cual tiene agravantes si causare daños.

5.3.1. Organizaciones internacionales

El Manual de las Naciones Unidas para la Prevención y Control de Delitos Informáticos señala que cuando el problema se eleva a la escena internacional, se magnifican los problemas y las insuficiencias, por cuanto, los delitos informáticos constituyen una forma de crimen trasnacional y su combate requiere de una eficaz cooperación concertada. Asimismo la ONU resume de la siguiente manera a los problemas que rodean a la cooperación internacional en el área de los delitos informáticos: A) Falta de acuerdos globales acerca de qué tipo de conductas deben constituir delitos informáticos. B) Ausencia de acuerdos globales en la definición de dichas conductas delictivas. C) Falta de especialización en las policías, fiscales y otros funcionarios judiciales en el campo de los delitos informáticos. D) Falta de armonización entre las diferentes leyes procesales nacionales acerca de la investigación de los delitos informáticos. E) Carácter trasnacional de muchos delitos cometidos mediante el uso de las computadoras. F) Ausencia de tratados de extradición, de acuerdos de ayuda mutua y de mecanismos sincronizados que permitan la puesta en vigor de la cooperación internacional. Tratados internacionales En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales. El GATT, se transformó en lo que hoy conocemos como la Organización Mundial de Comercio (OMC), por consecuencia todos los acuerdos que se suscribieron en el marco del GATT, siguen estando vigentes. En el Art. 61 se establece que para los casos de falsificación dolosa de marcas de fábrica o de comercio o de piratería lesiva del derecho de

90

autor a escala comercial se establecerán procedimientos y sanciones penales además de que "Los recursos disponibles comprenderán la pena de prisión y/o la imposición de sanciones pecuniarias suficientemente disuasorias" *El convenio de Berna *La convención sobre la Propiedad Intelectual de Estocolmo *La Convención para la Protección y Producción de Fonogramas de 1971 *La Convención Relativa a la Distribución de Programas y Señales En 1983 la Organización de Cooperación y Desarrollo Económico (OCDE) inició un estudio de la posibilidad de aplicar y armonizar en el plano internacional las leyes penales, a fin de luchar contra el problema del uso indebido de los programas de computación. Las posibles implicaciones económicas de la delincuencia informática tienen carácter internacional e incluso transnacional, cuyo principal problema es la falta de una legislación unificada que, facilita la comisión de los delitos. En 1986 la OCDE publicó un informe titulado Delitos de informática: análisis de la normativa jurídica, donde se reseñaban las normas legislativas vigentes y las propuestas de reforma en diversos Estados miembros y se recomendaba una lista mínima de ejemplos de uso indebido que los países podrían prohibir y sancionar en leyes penales. En 1992 elaboró un conjunto de normas para la seguridad de los sistemas de información, con intención de ofrecer las bases para que los Estados y el sector privado pudieran erigir un marco de seguridad para los sistemas informáticos. En 1990 la Organización de las Naciones Unidas (ONU) en el Octavo Congreso sobre Prevención del Delito y Justicia Penal, celebrado en La Habana, Cuba, se dijo que la delincuencia relacionada con la informática era consecuencia del mayor empleo del proceso de datos en las economías y burocracias de los distintos países y que por ello se había difundido la comisión de actos delictivos. La ONU ha publicado una descripción de "Tipos de Delitos Informáticos", que se transcribe al final de ésta sección. En 1992 La Asociación Internacional de Derecho Penal durante el coloquio celebrado en Wurzburgo en 1992, adoptó diversas recomendaciones respecto a los delitos informáticos, entre ellas que, en la medida que el derecho Penal no sea suficiente, deberá promoverse la modificación de la definición de los delitos existentes o la creación de otros nuevos, si no basta con la adopción de otras medidas como por ejemplo el "principio de subsidiariedad".

91

5.4. CUESTIONES

TÉCNICAS Y LEGALES DE LA INFORMÁTICA

FORENSE 5.4.1. Problemas para la aceptación de las evidencias digitales

Uno de los grandes obstáculos para la aceptación de evidencia digital en Colombia, es la carencia en los códigos procesales penales de normas especializadas destinadas a salvaguardar la cadena de custodia y admisibilidad de la evidencia digital. Esta falencia afecta a todas las partes involucradas incluyendo al juez encargado de administrar justicia que en algunos casos por el desconocimiento e incertidumbre técnica prefiere apartarse del material probatorio digital. La factibilidad técnica que existe para alterar la evidencia digital conocida como técnica anti forense es utilizada comúnmente por la defensa para desvirtuar la solidez del material probatorio, por lo cual es fundamental que cada operación realizada sobre la información y medios sea según los procedimientos oficiales establecidos, utilizando las mejores practica descritas por los organismos oficiales que incluyen la estricta documentación y toma de evidencia de cada proceso de manipulación. Existen mecanismos tecnológicos que permiten sustentar la solidez de la evidencia y sus alteraciones, para esto el perito informático debe apoyarse en los sistemas de correlación de eventos, logs de auditoría, sistemas de detección de intrusiones, registro de autenticación, autorización y estampas de tiempo para sustentar sus apreciaciones. Quizás uno de los retos más importantes que tiene la administración de justicia en el mundo en este momento es que no existen barreras geográficas para los delitos informáticos donde la jurisdicción de un solo incidente involucra múltiples legislaciones de estados y países, obligando a la parte acusatoria a ligarse al ámbito local en el que tiene autoridad sin que se dispongan de mecanismos sólidos de cooperación internacional. Otro obstáculo para la aceptación de la evidencia digital podría denominarse “tecnicismo” que consiste en utilizar un lenguaje científico y tecnológico que resulta en muchas ocasiones indispensable para describir de forma clara y concisa un evento. Es estrictamente necesario que el perito informático utilice un lenguaje comprensible y didáctico que le permita al juez entender los procedimientos y resultados de la investigación forense digital. Según la sentencia C–334/10 de la corte constitucional la evidencia digital es “frágil y volátil”, además de fácilmente manipulable. “Luego, al aportar elementos digitales en un caso, es preciso que el aparato judicial cuente con una base formal y clara sobre la admisibilidad de la evidencia digital presentada. Es decir, que la justicia pueda contar con características básicas de esta evidencia, estableciendo procedimientos básicos que le

92

permitan verificar su autenticidad, confiabilidad, suficiencia (completitud) y en conformidad con las leyes establecidas”.

5.4.2. Peritaje Informático

El Peritaje Informático se refiere a los estudios e investigaciones orientados a la obtención de una prueba o evidencia electrónica de aplicación en un asunto judicial o extrajudicial para que sirva para decidir sobre la culpabilidad o inocencia de una de las partes. Los Peritajes Extrajudiciales se dan cuando se requieren para un arbitraje o para un particular, ya sea para aclarar un litigio con otra persona, para conocer más sobre una materia o como consultoría previa antes de presentar una demanda. El Peritaje Judicial sería la investigación orientada a obtener pruebas para presentarlas en un juicio. Al finalizar el Peritaje Informático, el equipo de Evidencias Informáticas emitirá un Informe Pericial que servirá como prueba en asuntos relacionados con:        

Uso irregular del correo electrónico Abuso de los sistemas informáticos Violación de la seguridad Piratería Borrado intencionado de archivos Comercio electrónico Manipulación inadecuada de equipos, sabotajes Cualquier otro tipo de delitos informáticos

5.4.2.1. Perito Informático

El Perito informático es un perito judicial, que en su carácter de auxiliar de la justicia tiene como tarea primordial la de asesorar al juez respecto a temas relacionados con la informática. La función del perito informático consiste en el análisis de elementos informáticos, en busca de aquellos datos que puedan constituir una prueba o indicio útil para el litigio jurídico al que ha sido asignado. El perito informático debe poseer un perfil definitivamente técnico, siendo de vital importancia que el perito esté familiarizado con las técnicas de análisis y recuperación de datos. Como elemento adicional, el perito debe contar con amplios conocimientos legales que le permitan desarrollar su tarea sin que la misma sea descalificada o impugnada durante su presentación judicial.

93

Las tareas a desarrollar por el perito informático no son distintas de la de otros peritos judiciales. Por lo tanto deberá recopilar la información que es puesta a su disposición, analizar la misma en busca de los datos que el juez le ha requerido y emitir un informe o dictamen en donde vuelque las conclusiones de la investigación realizada. 5.4.2.2. Deberes del Perito Informático

      

Aceptar el cargo, presenciar la pericia junto a los peritos de oficio, presentar el informe. Comparecer personalmente ante el Juez, cada vez que éste lo requiera, prestando asistencia al cliente hasta que la causa culmine. Observar las reglas de lealtad, imparcialidad y buena fe. Guardar el secreto profesional cuando el caso lo imponga. Fundar sus opiniones técnicas, redactando el informe con la mayor claridad didáctica, precisión profesional y apego a las normas jurídicas. No estar inhabilitado, en jurisdicción alguna, para el ejercicio de la profesión, por motivos de mal desempeño profesional En los casos en que el cumplimiento de la tarea obligase al Perito a efectuar gastos necesarios y/o a percibir viáticos, se presentara un cálculo presupuestario y ponerlo a consideración del Cliente, quien resolverá al respecto.

5.4.2.3. Perfil del perito informático

Jeimy Cano, examinador Certificado de Fraude (CFE) por la ACFE (Asociación de Examinadores de Fraude Certificados), miembro de la Red Iberoamericana de Criptología y Seguridad de la Información (CriptoRED) y de la Red Latinoamericana de Especialistas en Derecho Informático, define a los peritos informáticos como “profesionales que contando con un conocimiento de los fenómenos técnicos en informática, son personas preparadas para aplicar procedimientos legales y técnicamente válidos para establecer evidencias en situaciones donde se vulneran o comprometen sistemas, utilizando métodos y procedimientos científicamente probados y claros que permitan establecer posibles hipótesis sobre el hecho y contar con la evidencia requerida que sustente dichas hipótesis” a los cuales también los llama “investigadores en informática”. Las áreas principales que debe cubrir un perito informático integral son:  Área de tecnologías de información y electrónica  Fundamento de bases de datos área de seguridad de la información  Área jurídica  Área de criminalística y ciencias forenses  Área de informática forense

94

5.4.2.4. Certificaciones profesionales Actualmente existen organizaciones con programas estructurados para la formación de profesionales en Ciencia Forense Digital, con el fin de que los forenses que tengan esta certificación cuenten con conocimientos de metodologías aplicadas internacionalmente, en el siguiente cuadro se detallan las certificaciones que ofrecen estas organizaciones y que debe tener, en lo posible, el perito informático, teniendo en cuenta obviamente las normas y leyes de cada país. Tabla 2: Certificaciones internacionales de peritaje informático

Fuente: www.dspace.espol.edu.ec/.../Tesina%20Laboratorio%20Forense.

6. MARCO METODOLÓGICO 6.1.

TIPO DE INVESTIGACIÓN

La investigación es un procedimiento sistemático, crítico, reflexivo y controlado que le da al investigador la posibilidad de descubrir nuevos datos, hechos, leyes o relaciones en cualquier campo del conocimiento (http://www.tiposde.org/general). Existen muchos tipos de investigación, pero la clasificación mas básica las agrupa en dos grandes grupos, de acuerdo a los objetivos que se persiguen: 



Investigación básica, pura o fundamental: tiene como objetivo incrementar los conocimientos científicos causando así un progreso en la ciencia. No se interesa por las consecuencias prácticas o aplicaciones de dichos conocimientos, sino que busca desarrollar teorías basadas en leyes y principios. Investigación aplicada, constructiva o utilitaria: su objetivo es la aplicación, uso y posibles consecuencias de los conocimientos. Si bien depende de los

95

descubrimientos y avances de la investigación básica, busca conocer para actuar, le interesa la aplicación sobre la realidad antes que el mero desarrollo de teorías generales. Esta propuesta se puede clasificar como una investigación aplicada pues parte de una situación problemática que requiere ser intervenida y mejorada, en este caso la falta de herramientas para combatir los delitos informáticos en la ciudad de Pereira. Estructuralmente comienza con la descripción de la situación o necesidad que requiere ser atendida, luego se exponen los conceptos y teorías que sustentan la alternativa de solución planteada por este proyecto; posteriormente se presentan la metodología y herramientas usadas para recolectar la información pertinente y por último, se presenta la propuesta elaborada a partir de la información obtenida en el proceso investigativo.

6.2.

DISEÑO DE INVESTIGACIÓN

El diseño de la investigación se refiere a la manera práctica y precisa que el investigador adopta para cumplir con los objetivos de su estudio, ya que el diseño de investigación indica los pasos a seguir para alcanzar dichos objetivos. Es necesario por tanto que previo a la selección del diseño de investigación se tengan claros los objetivos de la misma. La precisión, la profundidad así como también el éxito de los resultados de la investigación dependen de la elección adecuada del diseño de investigación. Existen dos métodos principales para enfrentar un problema de investigación:  

Investigación Cuantitativa: se reúne información que puede ser medida. Investigación Cualitativa: se centra en la recopilación de información principalmente verbal en lugar de mediciones. Luego, la información obtenida es analizada de una manera interpretativa, subjetiva, impresionista o incluso diagnóstica (https://explorable.com).

Según el método de investigación que se elija, existen varios diseños que se pueden utilizar, dependiendo de los objetivos del estudio y de la naturaleza del fenómeno:    

Diseño descriptivo: su objetivo es observar y describir. Estudios relacionados: su objetivo es predecir. Diseños experimentales y semi-experimentales: su objetivo es determinar causas. Análisis de otras investigaciones: su objetivo es explicar.

Este proyecto supone una investigación de tipo cualitativo y diseño descriptivo pues se trata de observar y describir un problema que está afectando a gran parte de la población.

96

Para el desarrollo del proyecto se hizo uso del proceso de investigación que se presenta en la siguiente figura: Ilustración 12: Proceso de investigación

PLANTEAMIENTO DEL PROBLEMA

DISEÑO DE LA INVESTIGACIÓN

RECOLECCIÓN DE LA INFORMACIÓN

Definir objetivos de la investigación.

Investigación exploratoria

Investigación en fuentes bibliograficas

Justificación

Realización de encuestas

Antecedentes

Investigación descriptiva

Formulación de una alternativa de solución

Fuentes de Informacion primaria y secundaria

ELABORACIÓN DE LA PROPUESTA

Tabulación de la información Conclusiones y resultados

Fuente: elaboración propia

Se realizó una investigación exploratoria preliminar acerca de la informática forense que, pese a ser una ciencia de gran actualidad debido al auge de delitos informáticos en todo el mundo, no ha sido muy estudiada, por lo menos en Colombia. Se trató de recolectar la más completa información respecto a las características, métodos y herramientas que usa la informática forense con el fin de sustentar la propuesta de implementar un Laboratorio de Informática Forense en la región. Así mismo, se llevo a cabo un análisis del problema de la seguridad informática en Colombia, utilizado más adelante para elaborar la justificación, antecedentes y contexto del proyecto. Seguidamente se realizó una investigación descriptiva en la que se definieron, a partir de la observación del contexto y el análisis de la información recolectada, todos los conceptos relacionados con la informática forense: tipos de delitos informáticos, evidencia digital, métodos de recolección y análisis de la evidencia, cadena de custodia, herramientas y equipos utilizados, requerimientos para la creación de un laboratorio de informática digital, y todos los demás aspectos necesarios para sustentar la propuesta. Además se describirá el contexto dentro del cual operara el proyecto en caso de ser llevado a cabo.

6.3.

FUENTES DE INFORMACIÓN

Las fuentes de información son instrumentos para el conocimiento, búsqueda y acceso a la información. La utilidad de dichas fuentes viene determinada por su respuesta a la necesidad de información de los usuarios. Esta necesidad puede ser: 

Localizar y obtener un documento del que se conoce el autor y el título

97



Localizar los documentos relativos a un tema en particular

Se distinguen dos tipos fundamentales de fuentes de información: 



Fuentes primarias (o directas): son los datos obtenidos "de primera mano", por el propio investigador o, en el caso de búsqueda bibliográfica, por artículos científicos, monografías, tesis, libros o artículos de revistas especializadas originales, no interpretados. Fuentes secundarias: consisten en resúmenes, compilaciones o listados de referencias, preparados en base a fuentes primarias. Es información ya procesada.

Las fuentes de información utilizadas en la elaboración de este proyecto fueron de dos tipos: primarias y secundarias. En cuanto a las primarias se realizó un arqueo bibliográfico, principalmente en internet, referente a los conceptos, metodologías, herramientas y todos los aspectos relacionados de una u otra forma con la informática forense. En este caso se utilizaron libros y revistas electrónicas, así como también guías de procedimientos de análisis informático forense, todo ello elaborado en otros países, puesto que la bibliografía colombiana respecto al tema es bastante limitada. También se hizo una revisión de material hallado en periódicos y algunos libros, estos últimos enfocados al proceso investigativo en sí mismo. Las fuentes secundarias, a las que también se accedió por medio de internet, corresponden a documentos, trabajos, proyecto y tesis que fueron consultados en el transcurso de la investigación y que permitieron dar una estructura al proyecto.

7. PROPUESTA LABORATORIO INFORMÁTICO FORENSE Este proyecto está enfocado principalmente en establecer la viabilidad técnica de implementar un Laboratorio de Informática Forense en la ciudad de Pereira. Por tal motivo, en este capítulo se definirán todos los aspectos técnicos necesarios para la creación de dicho laboratorio, fundamentados en la teoría anteriormente expuesta. Se analizaran las condiciones físicas y de infraestructura, así como los requerimientos de hardware y software necesarios para llevar a cabo los procesos y servicios que ofrecerá este laboratorio.

98

7.1.

INSTALACIONES

Un Laboratorio de Informática Forense requiere de instalaciones que cumplan con unas características y acondicionamiento específicos, las cuales se definirán a continuación. 7.1.1. Seguridad Física de las Instalaciones Todas las instalaciones del laboratorio deben de garantizar ante todo, la seguridad e integridad de la evidencia, por lo tanto es fundamental implementar medidas de seguridad que permitan el acceso solo a personal autorizado. Algunas de esas medidas pueden ser:  



Acceso mediante sistema biométrico, y cerradura, obviamente antes se debe haber realizado la identificación de la persona que desea ingresar. Sistema de video de circuito cerrado, para grabar todos los acontecimientos dentro del laboratorio, en todas las áreas. Las cámara funcionaran las 24 horas del día y solo podrán acceder a las grabaciones la persona encargada de la seguridad del laboratorio y el supervisor. Sistema de alarma con sensor de movimientos que se encontrará intercomunicado con la estación de policía más cercana y con un equipo de seguridad privada, los cuales atenderán cualquier alerta del laboratorio.

Es importante además, que el personal que labore dentro del laboratorio porte una credencial de identificación otorgada por el mismo laboratorio, en todo momento y en un lugar visible. Por lo general no se aceptan visitas al laboratorio, pero en el caso de que alguna persona requiera comunicarse con el personal del laboratorio, debe presentar una identificación y ser anunciado con esa persona para luego ser atendido en un área anexa, pues ninguna persona que no labore en el laboratorio podrá ingresar a las áreas de análisis, en casos especiales se deberá solicitar una autorización del supervisor del laboratorio. Además, se llevará un registro de las personas que ingresan al laboratorio mediante el llenado de un documento de registro, toda persona que ingrese al área anexa del laboratorio quedará registrada junto con el nombre de la persona con quien se comunicó, el motivo y firmará su salida. Por último, se debe tener en cuenta el acceso a los servicios de emergencia, pues el material que se manejara es delicado y las pérdidas incalculables, en caso de suceder algún incidente. 7.1.2. Despliegue de infraestructura en el interior de laboratorio Las instalaciones deberán contar con elementos esenciales, tales como: 

Cableado de red, con puntos de red en todas las áreas del laboratorio, esta será una intranet sin acceso a internet, en la mayoría de las áreas.

99

   

Conexión a red exterior (internet), la cual va a ser destinada para cualquier consulta, investigación, transmisión de información, que tenga que realizar el personal del laboratorio entorno a un caso en análisis o a analizar. Cableado telefónico para uso tanto externo como interno, uso de las líneas externas mediante la digitación de un código de seguridad, y el uso interno mediante la digitación del número de la extensión. Generador eléctrico propio o UPS, en caso de que falle el suministro de energía eléctrica, el generador se encontraría ubicado en un área externa al laboratorio. Habitaciones en lo posible sin ventanas a la parte externa del laboratorio y con divisiones para las distintas áreas son ideales para este tipo de instalaciones. Si el techo tiene cielo raso asegurarse que no existan aperturas por el cual puede caer algún tipo de contaminante o elemento que contamine la evidencia. 7.1.3. Condiciones ambientales

El laboratorio debe poseer las condiciones ambientales ideales, las cuales detallamos más adelante, como energía eléctrica, buena iluminación, ventilación, temperatura y humedad apropiados para la realización de las investigaciones, asegurándose en todo momento que estas condiciones no invaliden el resultado de los análisis ni la calidad requerida, así mismo el estado de las evidencias digitales originales. Un laboratorio de Informática Forense debe estar preparado para el peor de los casos, puesto que se manejan dispositivos eléctricos y electrónicos susceptibles a problemas eléctricos, por ello, es primordial tomar en cuenta las siguientes condiciones para evitar que influyan en la calidad de los resultados:    

Esterilidad biológica.- Se desinfectará la superficie de trabajo, se recomienda lejía al 2%. Interferencia electromagnética.- Se utiliza la jaula de Faraday para blindaje contra radiofrecuencia e interferencia electromagnética. Suministro eléctrico.- Instalación de UPS y generador eléctrico Ruido y vibración.- Instalación de materiales aislantes para evitar la propagación de ruido y vibraciones dentro del laboratorio.

El sistema de climatización e instalación de filtros evita el paso de polvo, la humedad, y el sobrecalentamiento y deterioro de los equipos de cómputo que se usarán en las diferentes etapas del proceso de análisis de la evidencia, es recomendable manejar un correcto sistema de refrigeración con temperaturas que vayan de 18°C a 30°C, aunque se recomienda que se mantenga en una temperatura estable de 22°C y mantener un límite de humedad máximo del 65% dentro de las instalaciones.

100

El sistema de extinción de incendios debe estar adecuado al material eléctrico y magnético, que se va a manejar dentro de las instalaciones, para tratar de causar el menor impacto en caso de su uso, tales como polvo químico seco o bióxido de carbono, espuma, INERGEN, entre otras (Escuela Superior Politécnica del Litoral, 2011). 7.1.4. Mantenimiento de Equipo e Instalaciones Un Laboratorio de Informática Forense debe estar siempre en óptimas condiciones para asegurar la confiabilidad e integridad de los resultados que se obtengan en el análisis forense. Para ello se debe efectuar mantenimiento tanto en los equipos como en las instalaciones, para evitar que estos se deterioren y favorecer la vida útil, hay dos tipos de mantenimiento, preventivo y correctivo. El mantenimiento preventivo de los equipos: consiste en crear un ambiente favorable para el sistema, y prolongar la vida útil del equipo, economizando el gasto de reparaciones en los equipos así como el mantener el equipo con las protecciones ante los ataques de virus informáticos, entre las tareas del mantenimiento preventivo están: limpieza del dispositivo, actualización del sistema operativo, parches, seguridad, antivirus, licencias y versiones, verificación de licencias activas, verificar que cumplan con las necesidades actuales de los análisis. El mantenimiento correctivo de los equipos: consiste en la reparación de los componentes de la computadora, esto va desde una pequeña soldadura, al cambio total de una tarjeta o dispositivo, ya que en muchos casos es más barato cambiar un dispositivo que repararlo.

Mantenimiento de las instalaciones: al igual que los equipos computacionales, las instalaciones físicas del laboratorio también necesitan un mantenimiento preventivo y correctivo cuando sea el caso. Mantenimiento preventivo de las instalaciones: el cual podría tomar en cuenta pintura, limpieza de pisos, paredes y/o techo, mantenimiento a los muebles de las oficinas, mantenimiento de los equipos de ventilación, tareas de reorganización del mobiliario. Mantenimiento correctivo de las instalaciones: en el cual se podría realizar el cambio de alguna de las piezas en el laboratorio, puertas, piezas eléctricas, focos, reubicación de áreas, entre otras. Es recomendable realizar estos mantenimientos con una periodicidad de una vez por semestre y establecerlo como política del laboratorio, para evitar la contaminación de la evidencia durante y después del análisis forense. Se debe registrar el último mantenimiento realizado (Escuela Superior Politécnica del Litoral, 2011).

101

7.2.

HERRAMIENTAS Y EQUIPOS INFORMÁTICOS

El conjunto de equipos de trabajo en un Laboratorio de Informática Forense, integra herramientas especializadas, computadores de escritorio y portátiles para llevar a cabo el proceso de análisis forense. También son necesarias herramientas de duplicación de discos con alta velocidad de copiado, conectividad con las diferentes interfaces de discos duros, adaptadores, portabilidad, esto permitirá realizar copias de discos duros los cuales se usarán para los análisis de las pruebas de una manera fácil y rápida. 7.2.1. Hardware El laboratorio que se plantea en esta propuesta contará con los siguientes equipos, cuyos costos se relacionan en el presupuesto: 



      

1 equipo portable forense FRED L - Procesador: Intel Core i7-4800MQ QuadCore, 2.7 GHz, 6MB L3 Cache - Memoria RAM: 8GB. - Disco duro: 256GB, disco de estado sólido. - Sistema operativo: Windows 7-64bits. - Incluye el kit de bloqueadores de escritura. 1 equipo fijo forense FRED-SR - Procesador: Dual QuadCoreXeon - Memoria RAM: desde 32GB hasta 64GB - Base de datos (Para imágenes, índice, etc.): cuenta con 160GB dedicados a PostgresSQL. - Sistema operativo: Windows 7-64bits Por cada computador licencia de cada uno de los programas instalados para el análisis forense para este caso (ENCASE y FTK) Dispositivos de almacenamiento 1 equipo de campo (portátil) ULTRAKIT III Bloqueadores de disco para diferentes conexiones porque no se saben los discos que resulten en el análisis 1 duplicador forense 1 cámara fotográfica Elementos para labores de campo: guantes, lentes, vestuario apropiado, números para marcación de evidencia…

102

Adicionalmente a los equipos especializados dentro del laboratorio, se deberá de contar con una serie de herramientas y suministros, que ayudarán a llevar a cabo la labor del perito, estas herramientas servirán entre otras cosas para sacar respaldos de la información relevante, la presentación de informes, imágenes de discos duros. Entre esos accesorios tenemos: discos duro externos, grabadores de CD/DVD, adaptadores, dispositivos de almacenamiento como USB. 7.2.2. Software Existen varias herramientas de software usadas en el análisis forense digital de las cuales presentamos las características principales de algunas de ellas, otras ya fueron mencionadas en el capitulo dos: FTK (Forensic toolkit) es una plataforma de investigaciones digitales aprobada por tribunales, que está diseñada para ser veloz, analítica y contar con escalabilidad de clase empresarial. Conocida por su interfaz intuitiva, el análisis de correo electrónico, las vistas personalizadas de datos y su estabilidad, FTK establece el marco para una expansión sin problemas, por lo que su solución de informática forense puede crecer de acuerdo a las necesidades de su organización. Adicionalmente, AccessData ofrece nuevos módulos de expansión, entregando el primer software de esta industria con capacidad de análisis y con visualización de última generación. Estos módulos se integran con FTK para crear la plataforma de informática forense más completa en el mercado. ENCASE (EncaseForensic) es una herramienta usada investigación digital por los profesionales forenses que necesitan llevar a cabo la recolección eficiente de datos y las investigaciones mediante un proceso repetible y defendible. Objetivo del software:  Proporcionar a los examinadores la mayor eficiencia, potencia y resultados. Este software es aceptado por las cortes y permite  Adquirir datos de la más amplia variedad de dispositivos  Mostrar las posibles pruebas con el análisis forense a nivel de disco.  Producir informes detallados sobre los hallazgos realizados  Mantener la integridad de la evidencia en un formato de confianza ante los tribunales. Los beneficios que tiene la herramienta es buscar, analizar e informar sobre las posibles pruebas de manera rápida además de adquirir y analizar los datos en una amplia variedad de ordenadores, teléfonos inteligentes y tabletas, descubre las pruebas potenciales por medio de búsqueda avanzadas, aumenta la productividad mediante la pre visualización de los resultados a medida que se adquiere datos, una vez que se crean los archivos de imagen, se

103

puede buscar y analizar varias unidades o los medios de comunicación de forma simultánea. Adicional a eso permite preservar la integridad de la evidencia con la creación de imágenes de discos en los formatos L01 y E01. SECURE VIEW 3 herramienta desarrollada por la firma Susteen, la cual permite realizarle análisis forense a dispositivos móviles como Iphone, Android, Blackberry, entre otros. CERBERUS es una tecnología de clasificación de malware que está disponible como accesorio para FTK 4. El primer paso hacia la ingeniería inversa automatizada. Cerberus califica las amenazas y hace un análisis de desmontaje para determinar tanto el comportamiento como la intención de binarios sospechosos. Visualización: Vista de datos en varios formatos, incluyendo líneas de tiempo, gráficas de clúster, gráficas circulares y más. Permite determinar rápidamente las relaciones en los datos, encontrar piezas claves de información y generar informes de fácil comprensión por los abogados, los Oficiales de Información (CIOs) u otros investigadores.

Algunas herramientas especiales para equipos móviles son: UFED 4PC es la solución de software de análisis forense de dispositivos móviles de Cellebrite, el cual está diseñado para entidades que requieren extracción lógica, económica rápida y simplificada para analizar datos probatorios de una amplia variedad de dispositivos móviles como (teléfonos antiguos, comunes, inteligentes tablets entre otros). La ventaja es que puede instalarse en cualquier PC basada en Windows, también brinda las herramientas necesarias para extraer rápidamente los datos de una memoria SIM y de la memoria del teléfono en forma adecuada36. XRY COMPLETE es el sistema integral de análisis forenses de móviles de Micro Systemation; una combinación de nuestras dos soluciones lógicas y físicas en un solo paquete. XRY completa permite a los investigadores el acceso completo a todos los métodos posibles para recuperar los datos desde un dispositivo móvil. XRY es un software que se diseño especialmente para análisis forense móvil basado en Windows, que incluye todo el hardware necesario para la recuperación de datos de los dispositivos móviles, de una manera segura en el ámbito forense. Con XRY Complete puede lograr más y profundizar en un dispositivo móvil al detalle para recuperar datos vitales. Con una combinación de herramientas de análisis lógicos y físicos disponibles para los dispositivos compatibles; XRY complete puede crear informes combinados los cuales pueden contener datos actuales y eliminados de que proceden de la misma terminal37. FTK IMAGER Permite montar prácticamente todo tipo de formatos de imagen forenses habituales, como Encase, SnapBack, Safeback, Expert Witness, Linux DD, ICS, Ghost, SMART, Access Data Logical Image y Advanced Forensics Format (AFF), con un soporte

104

muy extenso para sistemas de ficheros de unidades ópticas, discos duros cifrados y sistemas de fichero de disco. Para la elección final del software que se va a usar en el laboratorio de Informática Forense se tuvo en cuenta, además de los requerimientos da cada equipo, las características en el costo de la licencias, pues al estar acreditadas proporcionan una mayor confianza ante las autoridades judiciales. Por tal motivo se escogieron ENCASE y FTK, ambas son muy completas y lo que quizá falte en una, se complementa con la otra. 7.2.3. Materiales de referencia Se contará además con una pequeña biblioteca de referencia, con libros y revistas referentes al tema de seguridad informática, análisis forense y demás, relacionados a la actividad del laboratorio. También se contará con una base de archivos digitales con papers, mejores prácticas, normas y manuales de procedimientos en el campo Forense Digital. Este material será una buena fuente de referencia al alcance de los miembros del laboratorio, la cual se mantendrá actualizada conforme a los avances tecnológicos y disponibilidad de recursos.

7.3.

LOCALIZACIÓN

Al inicio de esta propuesta se considero como ubicación posible para implementar el Laboratorio Informático Forense, alguna oficina o local de la avenida circunvalar o en los barrios aledaños; sin embargo por razones de seguridad física y técnica, así como por los requerimientos ya mencionados en el primer punto de este capítulo, se optó por una oficina en el Edificio Perla del Otún, pues este lugar cuenta con seguridad privada, además de una planta eléctrica. Por otra parte es un sitio accesible ya que se encuentra en el centro de la ciudad. Obviamente se deduce que habría que hacer varias adecuaciones a los locales escogidos para cumplir con los requerimientos técnicos.

7.4.

PROCEDIMIENTOS

En los capítulos 2 y 3 de este documento se especificaron cada uno de los procesos y requerimientos necesarios en un Análisis Informático Forense (cadena de custodia, fases de la investigación, modelos, metodologías, requerimientos, legislación, manejo de la evidencia, etc.), por lo tanto en este punto no se volverán a tratar estos temas. Sin embargo, es importante aclarar que la cadena de custodia y la Guía para mejores prácticas que se utilizara en el laboratorio de informática forense, serán las que utilice en el momento la Fiscalía General de la Nación.

105

7.5.

ORGANIZACIÓN INTERNA DEL LABORATORIO

A continuación se muestra una grafica de cómo es el flujo de trabajo en un laboratorio de informática forense:

Ilustración 13: Flujo de Trabajo en el Laboratorio Informatico

Fuente: es.slideshare.net

El laboratorio de informática forense debe estar diseñado de tal manera que facilite cada uno de los pasos de la conservación de la evidencia, para lo cual se tiene en cuenta lo referido en los Marcos Teórico y Legal.

7.5.1. Requerimientos legales La ASCLD es un organismo internacional de certificación de los laboratorios forenses que investigan casos criminales mediante el análisis de la evidencia. Los laboratorios forenses de todo el mundo deben adherirse a:  

ISO/IEC 17025:1999 ASCLD/LAB

Una de las metas de la empresa es obtener estas certificaciones mediante la prestación de unos servicios de calidad que cumplan con todos los requerimientos a nivel nacional e internacional (Prezi, 2012).

106

8. PRESUPUESTO A continuación se relacionan cada uno de los elementos, equipos y herramientas que son indispensables para implementar un laboratorio de Informática Forense:

DESCRIPCIÓN

COSTO

1 equipo portable forense FRED L 1 equipo fijo forense FRED-SR

107

85.000.000.00 122.000.000.00

Dispositivos de almacenamiento 1 equipo de campo (portátil) ULTRAKIT III Bloqueadores de disco para diferentes conexiones 1 duplicador forense 1 cámara fotográfica Elementos para labores de campo Licencia para FTK Licencia para ENCASE Sistema de video de circuito cerrado Sistema de alarma Generador eléctrico o UPS Conexión a internet Sistema de climatización e instalación de filtros Mobiliario

2.000.000.00 14.000.000.00 1.000.000.00 20.000.000.00 1.000.000.00 2.000.000.00 5.200.000.00 2.995.000.00 3.000.000.00 70.000.00 7.000.000.00 240.000.00 4.500.000.00 15.000.000.00 258.195.000.00

TOTAL

9. CRONOGRAMA La elaboración del proyecto se realizará en 21 semanas contadas a partir del mes Julio del año en curso. Los trabajos están distribuidos de la siguiente manera. Año 2014 (mes) Etapas del proyecto

Julio

Agosto

Septiembre Octubre

Noviembre Diciembre

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 Leyes Nacionales Internacionales

e

Requerimientos físicos

108

Requerimientos ambientales. Requerimientos infraestructura.

de

Software Hardware

Consulta de guías y manuales existentes

Análisis de la información

Diseño de laboratorio informática forense

Documentar información

de

la Manual técnicos

procedimientos

Manual cadena de custodia

Revisión del trabajo

Entrega de resultados del estudio de viabilidad.

10. PRESUPUESTO DE PERSONAL El siguiente presupuesto relaciona las personas que participaran en el proyecto: Responsable

Funciones

Cantidad

Presupuesto

1

$2.500.000

Seleccionar personal. Asignar roles. Coordinador de proyecto

Asigna tareas. Explica a su grupo de trabajo cronograma de tareas. Revisar cumplimiento de metas.

109

Apoyar el personal. Tomar decisiones por imprevistos o retrasos. Realizar reuniones programadas con el grupo de trabajo. Asignar nuevas tareas. Acompañar el proyecto hasta la finalización del mismo. Entregar reporte final. Realizar estudio de mercado Analista mercadeo

de Realizar encuestas Realizar entrevistas

1

$1.000.000

1

$1.500.000

1

$700.000

TOTAL

$5.700.000

Entregar información al analista. Seleccionar información importante del proyecto. Analista de Entregar informes de avances. información Realizar manuales. Entre otros relacionados con el proyecto. Recolectar información. Digitar y organizar información. Auxiliar logística

de Apoyar al analista de información. Entre otros relacionados con el proyecto.

11. CONCLUSIONES A través del presente trabajo se logro demostrar que la implementación de un Laboratorio de Informática Forense es una propuesta viable y contribuiría a agilizar los procesos jurídicos en los que se necesite apoyo de la evidencia digital, ya sea para judicializar a posibles criminales como para demostrar la inocencia de personas acusadas injustamente. De la misma forma, se pudo establecer que la creación de un Laboratorio de Informática Forense en la ciudad de Pereira más que una propuesta, es una necesidad urgente, pues beneficiaría, no solo a los habitantes de este departamento, sino también a los de otras regiones, ya que son pocos los laboratorios de esta clase que hay en el país, y además

110

porque las autoridades han declarado que esta ciudad es una de las más afectadas por los delitos informáticos. La investigación bibliográfica realizada para este proyecto evidenció la importancia de la informática forense a nivel mundial, como ciencia auxiliar de la justicia moderna y especialmente como herramienta en la lucha contra la ciber-delincuencia. La elaboración del marco teórico y conceptual demostró la importancia del manejo de la evidencia digital, pues por sus características especiales es quizá más delicada y frágil que otros tipos de evidencias. Además la seguridad de la cadena de custodia determina la aceptación de estas evidencias como pruebas ante la justicia. Adicionalmente, se concluye que para asegurar la calidad en el proceso forense es necesario el cumplimiento metódico de las sucesivas fases que comprenden al proceso. Se logró evidenciar además, que Colombia es uno de los países donde más se presentan delitos informáticos, pero al igual también se comprobó que ha sido uno de los primeros países en crear un marco legal y normativo para judicializar a quienes cometan esta clase de delitos.

12. GLOSARIO Adware: Es un software que muestra anuncios (viene del inglés, ad = anuncio, software = programa). Los adware se instalan generalmente sin que nosotros lo deseemos, puesto que nadie suele desear que le machaquen con publicidad constantemente. Análisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos de información relacionada al archivo (metadatos, etc..), consistente entre otras cosas en la firma del archivo o hash (indica la integridad del archivo) Archivo de intercambio.- Es un espacio en el disco duro usado como una extensión de la memoria RAM de la computadora (1). Archivo BITMAP.- Es el formato propio del programa Microsoft Paint, que viene con el sistema operativo M Windows, extensión .BMP (2).

111

Bit SUID/SGID.- Es un procedimiento de asignación de permisos de los sistemas operativos basados en Unix, en el cual se le otorga al usuario o grupo privilegios de root o administrador, para realizar una tarea específica dentro del sistema (3). Blog: (abreviación de weblog) es una página web que contiene una serie de textos o artículos escritos por uno o más autores recopilados cronológicamente. Normalmente el más actual se coloca en primer plano. Su temática es muy variada. Abundan muchísimo los blogs personales, pero también podemos encontrar otros en formato periodístico. Lo que está claro es que es un modo de comunicarse que está generando diarios en masa. A fecha de hoy los gigantes de Internet se han subido al carro y están aprovechando el tirón para atraer más tráfico hacia sus sitios. Blu-Ray.- Es un formato de disco óptico de nueva generación que permite la grabación de video de alta definición y almacenamiento de grandes volúmenes de datos (4). Bolsa antiestática.- Bolsa o funda diseñada para evitar el traspaso y la generación de electricidad estática sea por fricción o inducción, al almacenar o transportar hardware (5). xv Bomba lógica.- Software, rutinas o modificaciones de programas que producen cambios, borrados de ficheros o alteraciones del sistema en un momento posterior a aquél en el que se introducen por su creador (6). Botnet.- Asociación en red (nets) de máquinas autónomas (robots) que forman un grupo de equipos que ejecutan una aplicación controlada y manipulada por el artífice del botnet, que controla todos los ordenadores/servidores infectados de forma remota y que pueden emplearse para robar datos o apagar un sistema. Bugs.- Son fallos o deficiencias en el proceso de creación de software que pueden ocasionar mal funcionamiento (8). Bypass.- Es un sistema conformado por un enlace internacional, una instalación de equipos de telecomunicaciones y líneas telefónicas, lo cual produce que una llamada de origen internacional sea registrada, y por lo tanto facturada, por la operadora telefónica como una llamada local (9) (10). Carding: Consiste en la obtención de los números secretos de la tarjeta de crédito, a través de técnicas de phishing, para realizar compras a través Internet. Ciberbullying: Estamos ante un caso de ciberbullying cuando un o una menor atormenta, amenaza, hostiga, humilla o molesta a otro/a mediante Internet, teléfonos móviles, consolas de juegos u otras tecnologías telemáticas. Cibercriminal.- Persona que ha cometido o procurado cometer un crimen, es decir una acción ilegal, haciendo uso de medios informáticos (12). xvi

112

Ciberdelincuencia.- Se define como cualquier tipo de actividad ilegal que utilice internet, una red pública o privada o un sistema informático (13). Clonación (tarjetas).- Consiste en la duplicación de tarjetas de crédito o débito utilizando un dispositivo lector de bandas magnéticas, sin el consentimiento del dueño de la tarjeta (14). Cookies.- Es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página (11). Cortafuego.- Es una Herramienta de seguridad que controla el tráfico de entrada/salida de una red (15). Criptografía.- Ciencia que estudia la manera de cifrar y descifrar los mensajes para que resulte imposible conocer su contenido a los que no dispongan de unas claves determinadas (16). Directorio Activo.- Implementación de Microsoft del servicio de directorios LDAP para utilizarse en entornos Windows. Permite a los administradores poder implementar políticas a nivel empresa, aplicar actualizaciones a una organización completa y desplegar programas en múltiples computadoras (17). Escáner.- Es un dispositivo que se utiliza para convertir, a través del uso de la luz, imágenes o documentos impresos a formato digital (18). xvii Esteganografía.- Es la ciencia de ocultar mensajes u objetos dentro de otros, llamados portadores, de modo que no se perciba su existencia a simple vista (19). Exploits.- Software malicioso que se usa para tomar ventaja de bugs, fallas y vulnerabilidades existentes en programas o sistemas (20) (21). Firewire.- Es un tipo de canal de comunicaciones externo caracterizado por su elevada velocidad de transferencia, empleado para conectar ordenadores y periféricos a otro ordenador, utilizando el Estándar IEEE 1394 (22). Firma Digital.- Método que asegura la autoría del remitente en mensajes y documentos a través de una función criptográfica (23). Flujos alternativos de datos.- Una característica del sistema de archivos NTFS que permite almacenar información y metadatos de manera oculta en un archivo (24). Gusanos.- Es un software malicioso que reside en la memoria y que tiene la habilidad de duplicarse y propagarse por sí mismo, sin la intervención del usuario, existiendo dos tipos: el que consume recursos en el computador y el xviii que se propaga por una red auto replicándose enviando copias de sí mismo a otros nodos (25).

113

Hacker.- Término para designar a alguien con talento y conocimiento, especialmente relacionado con las operaciones de computadora, redes y seguridad (26). Hash.- Algoritmo para generar claves para identificar de manera única a un documento, registro o archivo (27). Imagen Forense: Tecnica Llamada también "Espejeo" (en inglés "Mirroring"), la cual es una copia binaria de un medio electrónico de almacenamiento. En la imagen quedan grabados los espacios que ocupan los archivos y las áreas borradas incluyendo particiones escondidas. Log.- Archivo que registra movimientos y actividades de un determinado programa (28), usuario o proceso. Malware.- Es una variedad de software que tiene como finalidad infiltrarse, dañar o causar un mal funcionamiento en un ordenador sin el consentimiento de su propietario, los virus y gusanos son ejemplos de este tipo de software (29). Máquinas Virtuales.- Es la simulación de un computador real con todas sus características y funcionalidades (30). xix Metadatos.- Son datos que describen o definen algún aspecto de un recurso de información (como un documento, una imagen, una página web, etc.) (31). Phishing.- Es una modalidad de estafa informática que utiliza como medio un mensaje de texto, una llamada telefónica, una página web falsa, una ventana emergente o la más usada el correo electrónico suplantando la identidad de entidades o personas, con el objetivo de obtener de un usuario sus datos, claves, números de cuentas bancarias, números de tarjetas de crédito, identidades mediante el correo electrónico y servicios de mensajería instantánea y usar estos datos de manera fraudulenta (32). Phreaking.- Actividad de manipular sistemas telefónicos complejos por personas que conocen el funcionamiento de teléfonos de diversa índole, tecnologías de telecomunicaciones, funcionamiento de compañías telefónicas, sistemas que componen una red telefónica y electrónica aplicada a sistemas telefónicos (33). Script .- son un conjunto de instrucciones generalmente almacenadas en un archivo de texto que deben ser interpretados línea a línea en tiempo real para su ejecución, se distinguen de los programas, pues deben ser convertidos a un archivo binario ejecutable para correrlos (34). xx Sistema Biométrico.- Es un sistema de autenticación para reconocimiento único de humanos, mediante huella digital, reconocimiento de rostro, reconocimiento de voz, reconocimiento de iris (ojo), entre otros (35).

114

Software.- o programa, es un conjunto de componentes lógicos necesarios que hacen posible la realización de tareas en una computadora (36). Suma de Verificación.- Es una medida de seguridad que permite verificar que los datos no hayan sido modificados desde su publicación. El proceso consiste en sumar cada uno de los bytes y almacenar el valor del resultado. Posteriormente se realiza el mismo procedimiento y se compara el resultado con el valor almacenado, si ambas sumas concuerdan se asume que los datos no han sido corruptos (37). Virus.- Un virus informático es software malicioso que necesita de la intervención del hombre para propagarse, se adjunta a un programa o archivo para replicarse a sí mismo y continuar infectando el ordenador (38). Vulnerabilidades.- Es una debilidad en un sistema que puede permitir a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones (39). A continuación, entraremos a calcular el presupuesto que se requiere y las personas que participaran en dicho proyecto.

13. BIBLIOGRAFÍA Alvarez Galarza, M. (2008). Obtenido de dspace.ups.edu.ec/bitstream/123456789/546/4/CAPITULO3.pdf Arquillo Cruz, J. (2006). Universidad de Jaén. Obtenido de Open Libra: http://www.etnassoft.com/biblioteca/herramienta-de-apoyo-para-el-analisisforenses-de-computadoras/ Ausejo Prieto, R. (26 de Mayo de 2008). La Consigna. Obtenido de laconsigna.wordpress.com/2008/05/26/informatica-forense Beatriz. (2007). Obtenido de 132.248.38.3/SEV/pagina_congreso/congreso_estudiantil/.../4.8.pdf Cano Marinez, J. J. (Junio de 2006). Obtenido de colciencias: scienti1.colciencias.gov.co:8081/cvlac/.../generarCurriculoCv.do?cod_rh..

115

Casey. (2010). Obtenido de pegasus.javeriana.edu.co/~edigital/Docs/.../Informatica%20Forense.doc colombiadigital.net. (2013). Obtenido de colombiadigital.net/.../Delitos%20informáticos.html FISCALIA. (2012). fiscalia.gov. Obtenido de http://www.fiscalia.gov.co/en/wpcontent/uploads/2012/02/Huellas-55.pdf http://www.eltiempo.com/noticias/delitos-informaticos. (s.f.). http://www.fiscalia.gov.co/colombia/tag/delitos-informaticos/. (s.f.). http://www.tiposde.org/general. (s.f.). https://explorable.com. (s.f.). Lopez Manrique, Y. V. (Marzo de 2007). Universidad de San Carlos de Guatemala. Obtenido de biblioteca.usac.edu.gt/tesis/08/08_0359_CS.pdf Miranda. (2008). Obtenido de www.academia.edu/4288731/RITS_3_INFORMATICA_FORENSE Open Libra. (s.f.). Obtenido de http://www.etnassoft.com/biblioteca/herramienta-de-apoyopara-el-analisis-forenses-de-computadoras/ Perez, J. (2013). Obtenido de 132.248.38.3/SEV/pagina_congreso/congreso_estudiantil/.../4.8.pdf Presman, G. D. (2009). Obtenido de www.ekoparty.org/training-forense.php?c=2 Prezi. (2012). Obtenido de https://prezi.com/yr6bk6lsuvbc/requerimientos-para-unlaboratorio-de-informatica-forense/ RCN. (2014). Obtenido de http://www.rcnradio.com/ RCN. (11 de 02 de 2014). Obtenido de http://www.rcnradio.com/noticias/hurtosinformaticos-han-aumentado-en-pereira-en-el-ultimo-ano-116688 Rivas LOpez, J. L. (25 de Enero de 2008). Obtenido de Analisis Forense de Sistemas Informaticos: webs.uvigo.es/jlrivas/.../Analisis%20forense%20de%20sistemas%20infor... SUNDT, C. (2006). Obtenido de http://www.revistasbolivianas.org.bo/scielo.php?pid=S199740442009000200006&script=sci_arttext

116

Taber. (1980). Obtenido de www.yellowpages.ca/.../Taber/Taber...1980.../15478. Wiener. (1980). Obtenido de www.instructionaldesign.org › Learning Theories www.slideshare.net. (s.f.). Obtenido de http://www.slideshare.net

117