Área de conceptos fundamentales de informática forense y pericial

20 de julio de 2017 Autor: Antonio Salmerón

 
[Áreas; Figura ac2]: Área de conceptos fundamentales de informática forense y pericial.

El objetivo de los módulos de esta área es presentar los aspectos más conceptuales, metodológicos, de investigación y de procesos de trabajo en informática forense. Frente a las 2 siguientes áreas esta parte es la más estable en el tiempo y la base para afrontar futuros retos tecnológicos impensables actualmente.

Cluster: Unidad mínima de asignación de espacio de disco por el sistema de ficheros. Está formado por uno o más sectores consecutivos dentro de una misma pista. | Español: Agrupación. | Plural: Clusters | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Criminalística para informáticos forenses y peritos

12 de abril de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es realizar una introducción al empleo del método científico en la criminalística. Porque el método científico es de aplicación general a todas las ciencias forenses y, por tanto, también lo es en la informática forense. Cuando en los siguientes módulos se presenten las diferentes metodologías específicas de la informática forense se ha de tener en cuenta que todas estas metodologías tienen como base y fundamento el método científico. Por ello, el objetivo de este módulo es obtener los conocimientos necesarios de aplicación del método científico a la criminalística en general y a la informática forense en especial.

Odontología forense: Disciplina de la criminalística y rama de la medicina cuyo objetivo es obtener o elaborar moldes para determinar las características dentales de un individuo. Sus fines son la identificación y, también, los dictámenes de edad, la recogida de pruebas odontológicas en delitos sexuales, en maltrato infantil, en responsabilidad profesional, etc. | Inglés: Forensic dentistry; Forensic odontology

Módulo: Conceptos de informática forense

12 de abril de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es el estudio de los conceptos básicos de la informática forense y pericial, de los computadores, los delitos y las pruebas digitales. Algo importante, tanto del conocimiento de los conceptos fundamentales de informática forense y pericial como del empleo de las metodologías que se estudiarán en el siguiente módulo es que son muy independientes de las tecnologías y son resistentes al paso de tiempo, por lo que son la base para enfrentarse a la continua renovación tecnológica en hardware y software en la que la sociedad está inmersa.

Programador: Persona que desarrolla programas de computador. | Plural: Programadores | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Investigación metodológica

12 de abril de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es presentar diversas metodologías de investigación en informática forense y pericial, cada una con sus ventajas e inconvenientes. Son muchas las metodologías desarrolladas, unas centradas en la escena del delito, otras en la formación, en el control del flujo de información, etc. En cualquier caso, el empleo de una metodología formalizada es la base para la realización de una investigación completa y rigurosa, asegurando el correcto manejo de las pruebas digitales, reduciendo la posibilidad de errores, evitando la utilización de teorías preconcebidas y ayudando a soportar la presión del tiempo.

Autenticación: 1) Acción y efecto de autenticar, de acreditar. Dar seguridad de que alguien o algo es lo que representa o parece. 2) En informática, confirmar la identidad de un usuario, un programa, un producto, un sitio web, etc. 3) En un sistema de comunicaciones, verificación de la identidad del remitente y del origen del mensaje. | Inglés: Authentication | Plural: Autenticaciones | Alias: Autentificación, Autentificar | Bibliografía: DRAE; 2001; Salmerón, A.; et ál.; 1996:

Módulo: Investigación en informática forense

12 de abril de 2017 Autor: Antonio Salmerón

 

El objetivo de toda investigación es descubrir y presentar la verdad y por ello el objetivo de este módulo es hacerlo a partir de pruebas digitales. Dependiendo de los casos este proceso de investigación en informática forense puede implicar consecuencias económicas, de libertad y de sanciones y penas. Por ello además de emplear una metodología de confianza, como las enumeradas en el módulo anterior, hay que emplear técnicas que garanticen que el análisis, interpretación y presentación de los informes con pruebas digitales son fiables, objetivos y transparentes.

Ciberpunk: Subgénero de la ciencia ficción centrado en la alta tecnología, los cambios radicales del orden social y la vida mísera de sus personajes. Los argumentos de sus novelas suelen girar alrededor de hackers, crackers, sistemas de inteligencia artificial y poderosas corporaciones en un futuro relativamente cercano. Los escenarios mezclan lo post-industrial con lo tecnológico y su atmósfera es heredera del cine negro y los thrillers policiacos. El término ciberpunk se acuñó en los años 1980, como combinación de cibernética y punk y se le atribuye a Gibson, W.F.. | Inglés: Cyberpunk

Módulo: Ciberdelitos y ciberterrorismo

12 de abril de 2017 Autor: Antonio Salmerón

 

Los delitos, especialmente los violentos, pueden llegar a ser difíciles de investigar cuando los sucesos son complejos y existen muchas personas relacionadas. Cualesquiera que sean las circunstancias del delito, la información es clave para determinar y comprender de las relaciones existentes entre las víctimas y sus agresores, plantear la estrategia de investigación y para recoger, examinar y valorar las pruebas, y en este programa formativo las pruebas digitales. El objetivo de este módulo se centra en los delitos más violentos, en los ciberdelitos, incluso en el ciberterrorismo, con víctimas y daños personales y materiales, en los ataques a las Administraciones del Estado y a las empresas privadas y en los delitos de acoso y en los sexuales, siempre desde el punto de vista de la informática forense y pericial.

Núcleo de un sistema operativo: Capa más interna de un sistema operativo que trabaja en modo privilegiado. Se encarga de realizar las funciones del nivel más bajo del sistema operativo como son la comunicación entre procesos, la planificación de las asignaciones de los recursos del computador a los distintos procesos y la entrada/salida. | Inglés: Kernel | Plural: Núcleos de un sistema operativo; Núcleo del sistema operativo | Bibliografía: Salmerón, A.; et ál.; 1996

Criminalística para informáticos forenses y peritos

5 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este tema es realizar una introducción al empleo del método científico en la criminalística, la razón de ello es que el método científico es de aplicación general a todas las ciencias forenses y, por tanto, también lo es en la informática forense.

Cuando en un siguiente módulo se presenten diferentes metodologías específicas para la informática forense se ha de tener en cuenta que todas estas metodologías tienen como base y fundamento el método científico. Por ello, el objetivo de este tema es obtener los conocimientos necesarios de aplicación del método científico a la criminalística y para ello se sigue [ESUPOL; 1996] entre otra bibliografía.

Las experiencias de años de trabajo en la investigación de hechos delictivos, tanto en su perspectiva histórica como por países, demuestran que uno de los factores que influyen en los errores de juicio y de razonamiento de los elementos de prueba que técnicamente se aportaran en el desarrollo de los procedimientos judiciales, es la no aplicación del método científicos y de las tecnológicos disponibles en las diferentes disciplinas científicas que forman la criminalística y que tienen por objetivo recoger, comprender, analizar y evaluar los aspectos técnicos que aparecen en la comisión de los hechos delictivos.

[Bentham, J.; Figura dfp]: Esquema de la decisión fundada en una prueba.

Este módulo se estructura en 3 temas:

  • El objetivo del primero es la introducción a la criminalística y al método científico, al inductivo y al deductivo que servirá de base para comprender, en un módulo metodológico posterior, el proceso de investigación del informático forense, especialmente para el planteamiento de hipótesis, su prueba o refutación, y para la reconstrucción.
  • El objetivo del segundo es presentar la criminalística de campo y su método, siendo la escena del delito un lugar donde el informático forense tendrá que colaborar con otros especialistas y donde las pruebas físicas y las pruebas digitales podrán aparecer simultáneamente.
  • Finalmente, la investigación criminalística en los diferentes tipos de laboratorios de balística, documentoscopia, dactiloscopia, explosivos, etc.

Meteorología forense: Disciplina de la criminalística cuyo objetivo es el análisis de las condiciones climáticas pasadas de un lugar específico. Es una rama bastante empleada en los procesos judiciales en los que participan compañías de seguros y también en las investigaciones de homicidios. También incluye el proceso de reconstrucción de los eventos climáticos de un lugar específico. Se realiza mediante la obtención de informes e imágenes por satélite del clima de una zona así como por testimonios. | Inglés: Forensic meteorology

Conceptos de informática forense

5 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es el estudio de los conceptos básicos de la informática forense y pericial, de los computadores, de los delitos y de las pruebas digitales. Algo muy importante, tanto del conocimiento de los conceptos fundamentales de informática forense y pericial como del empleo de las metodologías que se estudiarán en el siguiente módulo, es que son muy independientes de las tecnologías y resistentes al paso de tiempo por lo que son la base para enfrentarse a la continua renovación tecnológica en la que la sociedad está inmersa.

[Usuario; Figura enu]: Evolución del número de usuarios en las 5 generaciones de la tecnología de la información.

La actividad informática es una parte cada vez más habitual de la vida diaria de las empresas y de las personas:

  • Antes de la década de los 60 sólo organismos gubernamentales y de investigación y grandes multinacionales podían contar con sistemas informáticos.
  • En la década de los 60 y de los 70, los mainframes ya eran comunes en las grandes empresas y se estima que había 1 millón de usuarios en todo el mundo, en su mayoría técnicos.
  • Los minicomputadores aparecieron en la década de los 80, estaban al alcance de muchas más empresas y centros universitarios, dando paso a muchos nuevos usuarios que alcanzábamos los 10 millones.
  • En la década de los 90, los computadores personales, de la década anterior, llegaron masivamente a las pequeñas empresas y a los hogares, alcanzándose los 100 millones de usuarios.
  • En la 1ª década del tercer milenio, los computadores portátiles e internet permitieron alcanzar una cifra estimada de 1.400 millones de usuarios, una cifra que representa del orden de un 20% de la población mundial.
  • Durante esta 2ª década, gracias a los dispositivos móviles con acceso a internet, lo que se está denominando internet móvil las previsiones de [Morgan Stanley; 2009] son alcanzar los 5.000 millones de usuarios.

Combinando la evolución tecnológica con el crecimiento del volumen de usuarios, incluso en los escenarios de previsión más conservadores, el análisis de pruebas digitales será cada vez más habitual para encontrar explicaciones a incidentes en las empresas, en los litigios, frente a la propia Administración Pública obligada a ser electrónica y, por supuesto, a los delitos. Frente a ello, objetivo primordial de un informático forense o de un perito es determinar la naturaleza, sucesos y autores relacionados con un incidente o con delito:

  • conociendo los conceptos fundamentales de su profesión, que es el objetivo de este módulo, y
  • siguiendo siempre un procedimiento de investigación estructurado y metodológico, que es el objetivo del siguiente módulo.

Anónimo: Alias genérico para los usuarios no del todo identificados en un sistema informático. La existencia de este tipo de usuarios se necesita cuando se desea permitir la entrada en un sistema a un gran número de usuarios desconocidos, por ejemplo, a través de FTP, no pudiendo el administrador abrir una cuenta de usuario para todos ellos. | Inglés: Anonymous | Plural: Anónimos | Bibliografía: Salmerón, A.; et ál.; 1996

Investigación metodológica

14 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es presentar una gama de posibles metodologías para la investigación en informática forense y pericial. Cada una de estas metodologías tiene sus ventajas e inconvenientes. Es sorprendente descubrir la gran cantidad de metodologías desarrolladas, unas centradas en la escena del delito, otras enfocadas en la formación, otras en el control del flujo de información, etc. En cualquier, caso el empleo por parte del perito o del informático forense de una metodología formalizada es la base para:

  • la realización de una investigación completa y rigurosa,
  • asegurando el correcto manejo de las pruebas digitales,
  • reduciendo la posibilidad de errores,
  • evitando la utilización de teorías preconcebidas y
  • ayudando a soportar la presión del tiempo.
[Metodología; Figura ms4]: Esquema metodológico creado mediante la síntesis de las fases fundamentales de las metodologías presentadas en este módulo.

A continuación se presenta un breve resumen de las metodologías seleccionadas para, posteriormente, dentro de este módulo, entrar en su estudio más detallado. Las metodologías ordenadas por su año de publicación son las siguientes:

  • [Casey, E; 2000]: Es una metodología básica y general, que puede aplicarse a computadores aislados y a entornos en red. Su utilidad se basa justo en su simplicidad, que la puede hacer eficiente frente a casos no muy complejos. Su defecto es que le falta una especificación las fases o momentos de autorización y de generación del informe final o dictamen pericial.
  • [Lee, H.C.; Palmbach, T.; Miller, M.T.; 2001]: Es realmente un enfoque metodológico clásico en investigación forense sobre pruebas físicas, pero que ya en su año de publicación contempla la aparición y la necesidad del análisis de las pruebas digitales. Esta metodología se estudiará fundamentalmente desde la perspectiva de la prueba digital y en su descripción se incluye una reflexión propia, no contemplada originalmente en [Lee, H.C.; Palmbach, T.; Miller, M.T.; 2001] de cómo algunos patrones de búsqueda de pruebas físicas tienen su aplicación en la localización de las pruebas digitales.
  • [Ashcroft, J.; 2001] y [Mukasey, M.B.; Sedgwick, J.L.; Hagy, D.W.; 2008]: Son dos ediciones de la metodología propuesta por el Departamento de Justicia de los Estados Unidos. Esta metodología se centra en las fases iniciales de actuación en la escena del delito, ya que está concebida como una guía para los informáticos forenses que dan una respuesta inmediata a delitos informáticos. Esta metodología proporciona criterios para la identificación de los diversos dispositivos digitales y para la selección de las pruebas digitales más adecuadas según las diferentes clases de delitos.
  • [Palmer, G.; 2001]: Los propios autores no la consideran como una metodología definitiva, ya que sus fases no se describen de forma completa sino a través de sus características y de posibles técnicas que podrían emplearse. Pero es importante conocerla pues ha sido la base para la elaboración de otras propuestas metodológicas. Es una metodología lineal pero que, en futuros desarrollos, podría contemplar ciclos como así lo hacen otras metodologías derivadas de ella.
  • [Palmer, G.; 2001]: Los propios autores no la consideran como una metodología definitiva, ya que sus fases no se describen de forma completa sino a través de sus características y de posibles técnicas que podrían emplearse. Pero es importante conocerla pues ha sido la base para la elaboración de otras propuestas metodológicas. Es una metodología lineal pero que, en futuros desarrollos, podría contemplar ciclos como así lo hacen otras metodologías derivadas de ella.
  • [Reith, M.; Carr, C.; Gunsch, G.; 2002]: Puede considerarse como una especificación de la anterior metodología de [Palmer, G.; 2001] donde ya se describen las fases, se añaden nuevas fases y se contemplan ciclos de realimentación. [Ciardhuáin, S.Ó.; 2004] la destaca por su alto nivel de abstracción y por ser aplicable a cualquier tipo de tecnología y clase de delito informático.
  • [Carrier, B.; Spafford, E.H.; 2003b]: Es una metodología muy detallada que se estructura en 5 fases con 17 tareas. Se diferencia de otras metodologías porque intenta integrar la investigación de las pruebas físicas con la de las pruebas digitales, supeditando, en cierta forma, estas últimas a las primeras. Si bien esta integración tiene sus ventajas puede añadir complejidad al proceso de investigación.
  • [Baryamureeba, V.; Tushabe, F.; 2004]: Es una metodología de 5 fases que contempla ciclos de realimentación entre todas ellas. Se basa en la anterior de [Carrier, B.; Spafford, E.H.; 2003b] y, por tanto, también integradora de la investigación de pruebas físicas junto con pruebas digitales, si bien, estas últimas tienen un menor grado de dependencia de las primeras.
  • [Ciardhuáin, S.Ó.; 2004]: Es una metodología de 13 fases, en forma de cascada, donde los flujos de información pasan de una actividad a la siguiente hasta el final del proceso. De esta forma, la cadena de custodia se forma por la lista de aquellos que han manipulado cada prueba digital y que debe pasar de un fase a la siguiente agregando los nombres de cada una de ellas. De todas las metodologías expuestas destaca porque es la que mejor establece los flujos de información y los puntos de control en el proceso de investigación.
  • [Casey, E.; 2004]: Es una evolución de su propia metodología [Casey, E; 2000]. Esta 2ª versión de su metodología posee 8 fases donde la fase de documentación corre paralela a las otras 7 fases de investigación. Estas 7 fases pueden representar un buen punto de equilibrio entre las metodologías muy cortas y otras con largo número de fases.
  • [Rifà, H.; Serra, J.; Rivas, J.L.; 2009]: Plantea una metodología en 3 fases, recogida de datos, análisis e investigación y redacción del informe. Si bien este enfoque puede parecer básico, hay que hacer notar que puede resultar adecuado para aquellos casos que no plantean una especial complejidad por su volumen y clase de pruebas digitales y personas y entidades implicadas, siendo estos una gran mayoría. Por ejemplo, la descripción que se realiza en [Vázquez López M.; 2012] de la metodología de la Brigada Investigación Tecnológica del Cuerpo Nacional de Policía española para sus pericias informáticas coincide, en buena medida, con esta metodología. Dentro de este módulo, metodología se estudiará con más detalle que las anteriores, dedicándole un tema. Esta una de las metodologías recomendables para la resolución del caso práctico final, especialmente si se trata de un caso sencillo.
  • [Casey, E.; 2011]: Es una 3ª versión de las metodologías de [Casey, E] ya descritas en apartados anteriores dedicados a [Casey, E; 2000] y a [Casey, E.; 2004]. Agrupa en menos fases las presentadas en [Casey, E.; 2004] convirtiendo en tareas algunas de las que en la anterior eran fases. Por su actualidad, esta metodología se ve con más detalle que las anteriores dedicándole un tema. Si el caso final que se plantea resolver tiene cierto nivel de complejidad esta podría ser una de las metodologías que podría seguir.

Proceso: a) En general, conjunto de operaciones que un computador realiza sobre un conjunto de datos, cada proceso consta de una secuencia de pasos que conforman su algoritmo y cuyo objetivo suele ser transformar dichos datos en información. b) En referencia a un sistema operativo, son los datos y programas de usuario o del sistema que el sistema operativo hace operar conjuntamente para realizar un trabajo específico. No hay que confundir el programa con el proceso, mientras el primero es una entidad pasiva, el segundo es activa, se ejecuta. | Plural: Procesos | Bibliografía: Salmerón, A.; et ál.; 1996

Investigación en informática forense

6 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de toda investigación es descubrir y presentar la verdad y por ello el objetivo de este módulo es hacerlo a partir de pruebas digitales. Dependiendo de los casos este proceso de investigación en informática forense puede implicar unas consecuencias poco relevantes, en algunos tener importancia económica y en otros una gran trascendencia, especialmente cuando están en relación con la libertad, las sanciones e incluso las penas.

[Cracker; Figura mkd]: Kevin David Mitnick, Condor, el primer Kevin, usualmente ocupa el primer lugar de los rankings históricos de crackers.

Por ello además de emplear una metodología de confianza hay que emplear técnicas que garanticen que el análisis, la interpretación y la presentación de los informes con pruebas digitales son fiables, objetivos y transparentes y justo este es el objetivo de este módulo.

Para alcanzar su objetivo este módulo se estructura cubriendo 3 áreas fundamentales de la investigación en informática forense:

  • El trabajo en la escena del delito donde pueden existir tanto pruebas físicas tradicionales como pruebas digitales.
  • La reconstrucción con pruebas digitales, la reconstrucción del comportamiento humano es como la resolución de un puzle multidimensional donde puede haber piezas evidentes y otras perdidas, dañadas y, por supuesto, escondidas.
  • Los perfiles, las motivaciones y el modus operandi de las personas que, aunque exista una larga tradición de estudio en criminología, en el área de las tecnologías de la información mezcla características clásicas con otras muy particulares.
[Cracker; Figura pkl]: Kevin Lee Poulsen, Dark Dante, el segundo Kevin, usualmente ocupa el segundo lugar de los rankings históricos de crackers.

Hiperenlace: Referencia a un fichero de hipertexto que se puede realizar dentro de otro fichero de hipertexto. También puede ser una referencia a una posición determinada, identificada por una etiqueta, dentro de otro fichero de hipertexto o del mismo fichero que contiene la referencia. En HTML, un ejemplo de hiperenlace a otro fichero de hipertexto es {<a href="http://www.antoniosalmeron.com/index.html"> ... </a>}, un ejemplo de hiperenlace a una posición determinada dentro de otro fichero de hipertexto es {<a href=""http://www.antoniosalmeron.com/index.html#Salmerón A., 201203a"> ... </a>} y dentro del propio fichero es {<a href="#Salmerón A., 201202a"> ... </a>}. Usualmente los hiperenlaces se visualizan de una forma realzada, por ejemplo como textos subrayados y en un color diferente al resto del texto, para que el usuario los identifique fácilmente. Las figuras, por ejemplo, imágenes en formatos GIF, PNG o JPEG pueden ser hiperenlaces, por ejemplo, {<a href="http://www.antoniosalmeron.com"><img src="figura.png"/></a>} | Inglés: Link; Hyperlink | Plural: Hiperenlaces | Alias: Enlace | Bibliografía: Salmerón, A.; et ál.; 1996

Ciberdelitos y ciberterrorismo

6 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo se centra en los delitos más violentos, en los ciberdelitos, incluso en el ciberterrorismo, con víctimas y daños personales y materiales, en los ataques a las Administraciones del Estado y a las empresas privadas y en los delitos de acoso y en los sexuales, siempre desde el punto de vista de la informática forense y pericial.

[Ciber; Figura kyv]: [Kaspersky, Y.V.], creador del antivirus que lleva su nombre, da su opinión sobre los riesgos del ciberterrorismo, 7 de junio de 212.

Los delitos, especialmente los violentos, pueden llegar a ser difíciles de investigar cuando los sucesos son complejos y existen muchas personas relacionadas. Pero estos delitos no suceden en un vacío desconocido e intangible, si no en un mundo en el que pueden quedar múltiples pruebas de ello, tanto físicas como digitales. Por ejemplo:

  • en algunos casos, la víctima puede conocer o haber tenido relación con el delincuente, puede existir una larga historia anterior de angustia, incluso marcada por violencia,
  • en otros, el delito puede ser rápido, irreflexivo y destructivo creando y destruyendo pruebas o
  • puede ser el resultado de un largo período de preparación y anticipación.

Cualesquiera que sean las circunstancias del delito, la información es clave para:

  • determinar y comprender de las relaciones existentes entre la víctima y su agresor o agresores,
  • plantear la estrategia de investigación y
  • para recoger, examinar y valorar las pruebas, en este curso, digitales.

Logout: Salida controlada de un usuario de su cuenta de usuario en un sistema informático. | Inglés: Logoff; Sign out | Alias: Salir; Salida