Área de conceptos fundamentales de informática forense y pericial

20 de julio de 2017 Autor: Antonio Salmerón

 
[Áreas; Figura ac2]: Área de conceptos fundamentales de informática forense y pericial.

El objetivo de los módulos de esta área es presentar los aspectos más conceptuales, metodológicos, de investigación y de procesos de trabajo en informática forense. Frente a las 2 siguientes áreas esta parte es la más estable en el tiempo y la base para afrontar futuros retos tecnológicos impensables actualmente.

ASCII: Codificación alfanumérica basada en el alfabeto latino, como se usa en inglés y otras lenguas occidentales. Utiliza 7 bits para representar los caracteres e inicialmente empleaba un bit de paridad para detectar errores de transmisión. Una de sus características es que las mayúsculas y las minúsculas sólo difieren en un bit, por ejemplo, la A es 1000001 y la a 1100001, la B es 1000010 y la b es 1100010, etc. No ha de confundirse con otros códigos de 8 bits, como el ISO-8859-1 que es su extensión de 8 bits para disponer de caracteres utilizados en otros idiomas como en el español, por ejemplo, la eñe o la u con diéresis, ü. | Inglés: American Standard Code for Information Interchange | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Criminalística para informáticos forenses y peritos

12 de abril de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es realizar una introducción al empleo del método científico en la criminalística. Porque el método científico es de aplicación general a todas las ciencias forenses y, por tanto, también lo es en la informática forense. Cuando en los siguientes módulos se presenten las diferentes metodologías específicas de la informática forense se ha de tener en cuenta que todas estas metodologías tienen como base y fundamento el método científico. Por ello, el objetivo de este módulo es obtener los conocimientos necesarios de aplicación del método científico a la criminalística en general y a la informática forense en especial.

Medicina forense: Disciplina de la criminalística y rama de la medicina cuyo objeto es determinar el origen de las lesiones sufridas por un herido o la causa de la muerte mediante el examen de un cadáver. Estudia los aspectos médicos derivados de la práctica diaria de los tribunales de justicia, donde actúan como peritos. El médico especialista en el área recibe el nombre de médico forense. | Alias: Médico forense

Módulo: Conceptos de informática forense

12 de abril de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es el estudio de los conceptos básicos de la informática forense y pericial, de los computadores, los delitos y las pruebas digitales. Algo importante, tanto del conocimiento de los conceptos fundamentales de informática forense y pericial como del empleo de las metodologías que se estudiarán en el siguiente módulo es que son muy independientes de las tecnologías y son resistentes al paso de tiempo, por lo que son la base para enfrentarse a la continua renovación tecnológica en hardware y software en la que la sociedad está inmersa.

Caballo de Troya: Software malicioso que se presenta al usuario como útil, no necesariamente como legal, pero que al ejecutarlo ocasiona daños o crea una puerta trasera, backdoor, de acceso por la que otros pueden acceder a su computador. El término proviene del Caballo de Troya que, según Homero, los griegos ponen con sus mejores guerreros ocultos en el interior, como estratagema, frente a las puertas de Troya y que los troyanos aceptan como regalo siendo este el inicio de su derrota. Comúnmente se usa el término troyano para referirse a un caballo de Troya informático, cuando troyano, ciudadano de Troya, tendría que ser el equivalente al usuario que inocentemente acepta o descarga un caballo de Troya, esto es, se denomina al arma con el nombre de su víctima. | Inglés: Trojan horse | Alias: Troyano

Módulo: Investigación metodológica

12 de abril de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es presentar diversas metodologías de investigación en informática forense y pericial, cada una con sus ventajas e inconvenientes. Son muchas las metodologías desarrolladas, unas centradas en la escena del delito, otras en la formación, en el control del flujo de información, etc. En cualquier caso, el empleo de una metodología formalizada es la base para la realización de una investigación completa y rigurosa, asegurando el correcto manejo de las pruebas digitales, reduciendo la posibilidad de errores, evitando la utilización de teorías preconcebidas y ayudando a soportar la presión del tiempo.

Dirección de correo electrónico: Conjunto de caracteres que identifican a una persona que puede enviar o recibir correos electrónicos, siendo cada dirección única. Cada dirección consta de 2 partes separadas por el carácter @, arroba, el nombre del usuario y el dominio, por ejemplo, en {asalmeron@asolver.com}, el nombre del usuario es {asalmeron} y el dominio {asolver.com}. El nombre del usuario no tiene por qué corresponder a una persona en concreto y puede corresponder, por ejemplo, a un servicio de atención al cliente, a un departamento, etc. por ejemplo, como en la dirección {service@omrforms.es}. En las direcciones de correo, al igual que en un dominio o en una URL no se distingue entre mayúsculas y minúsculas, pudiendo escribirse, por ejemplo, {asalmeron@asolver.com} como {ASalmeron@ASolver.com} si se cree que así es más significativo o se recuerda mejor. | Inglés: email address | Plural: Direcciones de correo electrónico

Módulo: Investigación en informática forense

12 de abril de 2017 Autor: Antonio Salmerón

 

El objetivo de toda investigación es descubrir y presentar la verdad y por ello el objetivo de este módulo es hacerlo a partir de pruebas digitales. Dependiendo de los casos este proceso de investigación en informática forense puede implicar consecuencias económicas, de libertad y de sanciones y penas. Por ello además de emplear una metodología de confianza, como las enumeradas en el módulo anterior, hay que emplear técnicas que garanticen que el análisis, interpretación y presentación de los informes con pruebas digitales son fiables, objetivos y transparentes.

Seguridad del sistema: Está formada por: a) Conjunto de mecanismos de protección que debe tener el sistema informático para evitar posibles accidentes fortuitos o deliberados y para soportar posibles catástrofes como el fuego, las inundaciones, los terremotos, etc. o actos de sabotaje, vandalismo, robo, etc. b) Conjunto de dispositivos físicos necesarios para controlar el acceso al sistema, como son las cerraduras de control o los guardias de seguridad. Un sistema informático puede ser de gran importancia para una empresa o institución y, a su vez, vulnerable a accidentes o intrusiones. Las condiciones de ubicación del sistema, su diseño, construcción e instalación y condiciones ambientales así sus medidas de seguridad, han de considerar e intentar prevenir los posibles accidentes o actos contra él. Entre las medidas de seguridad que se adoptan en grandes sistemas está la posibilidad de disponer de instalaciones alternativas para ser usadas en caso de urgencia. | Bibliografía: Salmerón, A.; et ál.; 1996

Módulo: Ciberdelitos y ciberterrorismo

12 de abril de 2017 Autor: Antonio Salmerón

 

Los delitos, especialmente los violentos, pueden llegar a ser difíciles de investigar cuando los sucesos son complejos y existen muchas personas relacionadas. Cualesquiera que sean las circunstancias del delito, la información es clave para determinar y comprender de las relaciones existentes entre las víctimas y sus agresores, plantear la estrategia de investigación y para recoger, examinar y valorar las pruebas, y en este programa formativo las pruebas digitales. El objetivo de este módulo se centra en los delitos más violentos, en los ciberdelitos, incluso en el ciberterrorismo, con víctimas y daños personales y materiales, en los ataques a las Administraciones del Estado y a las empresas privadas y en los delitos de acoso y en los sexuales, siempre desde el punto de vista de la informática forense y pericial.

Identificador de usuario: Clave formada por una cadena caracteres alfanuméricos o dígitos numéricos que el sistema operativo asigna a cada usuario con una cuenta de usuario. Se utiliza para identificar internamente al usuario, establecer prioridades, gestionar permisos de ejecución, acceder a recursos, etc. | Inglés: User identifier, UID; User ID | Plural: Identificadores de usuario | Bibliografía: Salmerón, A.; et ál.; 1996

Criminalística para informáticos forenses y peritos

5 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este tema es realizar una introducción al empleo del método científico en la criminalística, la razón de ello es que el método científico es de aplicación general a todas las ciencias forenses y, por tanto, también lo es en la informática forense.

Cuando en un siguiente módulo se presenten diferentes metodologías específicas para la informática forense se ha de tener en cuenta que todas estas metodologías tienen como base y fundamento el método científico. Por ello, el objetivo de este tema es obtener los conocimientos necesarios de aplicación del método científico a la criminalística y para ello se sigue [ESUPOL; 1996] entre otra bibliografía.

Las experiencias de años de trabajo en la investigación de hechos delictivos, tanto en su perspectiva histórica como por países, demuestran que uno de los factores que influyen en los errores de juicio y de razonamiento de los elementos de prueba que técnicamente se aportaran en el desarrollo de los procedimientos judiciales, es la no aplicación del método científicos y de las tecnológicos disponibles en las diferentes disciplinas científicas que forman la criminalística y que tienen por objetivo recoger, comprender, analizar y evaluar los aspectos técnicos que aparecen en la comisión de los hechos delictivos.

[Bentham, J.; Figura dfp]: Esquema de la decisión fundada en una prueba.

Este módulo se estructura en 3 temas:

  • El objetivo del primero es la introducción a la criminalística y al método científico, al inductivo y al deductivo que servirá de base para comprender, en un módulo metodológico posterior, el proceso de investigación del informático forense, especialmente para el planteamiento de hipótesis, su prueba o refutación, y para la reconstrucción.
  • El objetivo del segundo es presentar la criminalística de campo y su método, siendo la escena del delito un lugar donde el informático forense tendrá que colaborar con otros especialistas y donde las pruebas físicas y las pruebas digitales podrán aparecer simultáneamente.
  • Finalmente, la investigación criminalística en los diferentes tipos de laboratorios de balística, documentoscopia, dactiloscopia, explosivos, etc.

Criminalística de campo: Área de la criminalística donde la investigación se lleva a cabo en el propio lugar de los hechos, escenario del delito o del hallazgo. Es multidisciplinar como la criminalística. | Inglés: Crime scene investigation

Conceptos de informática forense

5 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es el estudio de los conceptos básicos de la informática forense y pericial, de los computadores, de los delitos y de las pruebas digitales. Algo muy importante, tanto del conocimiento de los conceptos fundamentales de informática forense y pericial como del empleo de las metodologías que se estudiarán en el siguiente módulo, es que son muy independientes de las tecnologías y resistentes al paso de tiempo por lo que son la base para enfrentarse a la continua renovación tecnológica en la que la sociedad está inmersa.

[Usuario; Figura enu]: Evolución del número de usuarios en las 5 generaciones de la tecnología de la información.

La actividad informática es una parte cada vez más habitual de la vida diaria de las empresas y de las personas:

  • Antes de la década de los 60 sólo organismos gubernamentales y de investigación y grandes multinacionales podían contar con sistemas informáticos.
  • En la década de los 60 y de los 70, los mainframes ya eran comunes en las grandes empresas y se estima que había 1 millón de usuarios en todo el mundo, en su mayoría técnicos.
  • Los minicomputadores aparecieron en la década de los 80, estaban al alcance de muchas más empresas y centros universitarios, dando paso a muchos nuevos usuarios que alcanzábamos los 10 millones.
  • En la década de los 90, los computadores personales, de la década anterior, llegaron masivamente a las pequeñas empresas y a los hogares, alcanzándose los 100 millones de usuarios.
  • En la 1ª década del tercer milenio, los computadores portátiles e internet permitieron alcanzar una cifra estimada de 1.400 millones de usuarios, una cifra que representa del orden de un 20% de la población mundial.
  • Durante esta 2ª década, gracias a los dispositivos móviles con acceso a internet, lo que se está denominando internet móvil las previsiones de [Morgan Stanley; 2009] son alcanzar los 5.000 millones de usuarios.

Combinando la evolución tecnológica con el crecimiento del volumen de usuarios, incluso en los escenarios de previsión más conservadores, el análisis de pruebas digitales será cada vez más habitual para encontrar explicaciones a incidentes en las empresas, en los litigios, frente a la propia Administración Pública obligada a ser electrónica y, por supuesto, a los delitos. Frente a ello, objetivo primordial de un informático forense o de un perito es determinar la naturaleza, sucesos y autores relacionados con un incidente o con delito:

  • conociendo los conceptos fundamentales de su profesión, que es el objetivo de este módulo, y
  • siguiendo siempre un procedimiento de investigación estructurado y metodológico, que es el objetivo del siguiente módulo.

API: Especificación del conjunto de funciones o procedimientos de una aplicación accesibles desde un programa externo. API corresponde en inglés a application program interface. | Inglés: Application program interface | Bibliografía: Salmerón, A.; et ál.; 1996

Investigación metodológica

14 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo es presentar una gama de posibles metodologías para la investigación en informática forense y pericial. Cada una de estas metodologías tiene sus ventajas e inconvenientes. Es sorprendente descubrir la gran cantidad de metodologías desarrolladas, unas centradas en la escena del delito, otras enfocadas en la formación, otras en el control del flujo de información, etc. En cualquier, caso el empleo por parte del perito o del informático forense de una metodología formalizada es la base para:

  • la realización de una investigación completa y rigurosa,
  • asegurando el correcto manejo de las pruebas digitales,
  • reduciendo la posibilidad de errores,
  • evitando la utilización de teorías preconcebidas y
  • ayudando a soportar la presión del tiempo.
[Metodología; Figura ms4]: Esquema metodológico creado mediante la síntesis de las fases fundamentales de las metodologías presentadas en este módulo.

A continuación se presenta un breve resumen de las metodologías seleccionadas para, posteriormente, dentro de este módulo, entrar en su estudio más detallado. Las metodologías ordenadas por su año de publicación son las siguientes:

  • [Casey, E; 2000]: Es una metodología básica y general, que puede aplicarse a computadores aislados y a entornos en red. Su utilidad se basa justo en su simplicidad, que la puede hacer eficiente frente a casos no muy complejos. Su defecto es que le falta una especificación las fases o momentos de autorización y de generación del informe final o dictamen pericial.
  • [Lee, H.C.; Palmbach, T.; Miller, M.T.; 2001]: Es realmente un enfoque metodológico clásico en investigación forense sobre pruebas físicas, pero que ya en su año de publicación contempla la aparición y la necesidad del análisis de las pruebas digitales. Esta metodología se estudiará fundamentalmente desde la perspectiva de la prueba digital y en su descripción se incluye una reflexión propia, no contemplada originalmente en [Lee, H.C.; Palmbach, T.; Miller, M.T.; 2001] de cómo algunos patrones de búsqueda de pruebas físicas tienen su aplicación en la localización de las pruebas digitales.
  • [Ashcroft, J.; 2001] y [Mukasey, M.B.; Sedgwick, J.L.; Hagy, D.W.; 2008]: Son dos ediciones de la metodología propuesta por el Departamento de Justicia de los Estados Unidos. Esta metodología se centra en las fases iniciales de actuación en la escena del delito, ya que está concebida como una guía para los informáticos forenses que dan una respuesta inmediata a delitos informáticos. Esta metodología proporciona criterios para la identificación de los diversos dispositivos digitales y para la selección de las pruebas digitales más adecuadas según las diferentes clases de delitos.
  • [Palmer, G.; 2001]: Los propios autores no la consideran como una metodología definitiva, ya que sus fases no se describen de forma completa sino a través de sus características y de posibles técnicas que podrían emplearse. Pero es importante conocerla pues ha sido la base para la elaboración de otras propuestas metodológicas. Es una metodología lineal pero que, en futuros desarrollos, podría contemplar ciclos como así lo hacen otras metodologías derivadas de ella.
  • [Palmer, G.; 2001]: Los propios autores no la consideran como una metodología definitiva, ya que sus fases no se describen de forma completa sino a través de sus características y de posibles técnicas que podrían emplearse. Pero es importante conocerla pues ha sido la base para la elaboración de otras propuestas metodológicas. Es una metodología lineal pero que, en futuros desarrollos, podría contemplar ciclos como así lo hacen otras metodologías derivadas de ella.
  • [Reith, M.; Carr, C.; Gunsch, G.; 2002]: Puede considerarse como una especificación de la anterior metodología de [Palmer, G.; 2001] donde ya se describen las fases, se añaden nuevas fases y se contemplan ciclos de realimentación. [Ciardhuáin, S.Ó.; 2004] la destaca por su alto nivel de abstracción y por ser aplicable a cualquier tipo de tecnología y clase de delito informático.
  • [Carrier, B.; Spafford, E.H.; 2003b]: Es una metodología muy detallada que se estructura en 5 fases con 17 tareas. Se diferencia de otras metodologías porque intenta integrar la investigación de las pruebas físicas con la de las pruebas digitales, supeditando, en cierta forma, estas últimas a las primeras. Si bien esta integración tiene sus ventajas puede añadir complejidad al proceso de investigación.
  • [Baryamureeba, V.; Tushabe, F.; 2004]: Es una metodología de 5 fases que contempla ciclos de realimentación entre todas ellas. Se basa en la anterior de [Carrier, B.; Spafford, E.H.; 2003b] y, por tanto, también integradora de la investigación de pruebas físicas junto con pruebas digitales, si bien, estas últimas tienen un menor grado de dependencia de las primeras.
  • [Ciardhuáin, S.Ó.; 2004]: Es una metodología de 13 fases, en forma de cascada, donde los flujos de información pasan de una actividad a la siguiente hasta el final del proceso. De esta forma, la cadena de custodia se forma por la lista de aquellos que han manipulado cada prueba digital y que debe pasar de un fase a la siguiente agregando los nombres de cada una de ellas. De todas las metodologías expuestas destaca porque es la que mejor establece los flujos de información y los puntos de control en el proceso de investigación.
  • [Casey, E.; 2004]: Es una evolución de su propia metodología [Casey, E; 2000]. Esta 2ª versión de su metodología posee 8 fases donde la fase de documentación corre paralela a las otras 7 fases de investigación. Estas 7 fases pueden representar un buen punto de equilibrio entre las metodologías muy cortas y otras con largo número de fases.
  • [Rifà, H.; Serra, J.; Rivas, J.L.; 2009]: Plantea una metodología en 3 fases, recogida de datos, análisis e investigación y redacción del informe. Si bien este enfoque puede parecer básico, hay que hacer notar que puede resultar adecuado para aquellos casos que no plantean una especial complejidad por su volumen y clase de pruebas digitales y personas y entidades implicadas, siendo estos una gran mayoría. Por ejemplo, la descripción que se realiza en [Vázquez López M.; 2012] de la metodología de la Brigada Investigación Tecnológica del Cuerpo Nacional de Policía española para sus pericias informáticas coincide, en buena medida, con esta metodología. Dentro de este módulo, metodología se estudiará con más detalle que las anteriores, dedicándole un tema. Esta una de las metodologías recomendables para la resolución del caso práctico final, especialmente si se trata de un caso sencillo.
  • [Casey, E.; 2011]: Es una 3ª versión de las metodologías de [Casey, E] ya descritas en apartados anteriores dedicados a [Casey, E; 2000] y a [Casey, E.; 2004]. Agrupa en menos fases las presentadas en [Casey, E.; 2004] convirtiendo en tareas algunas de las que en la anterior eran fases. Por su actualidad, esta metodología se ve con más detalle que las anteriores dedicándole un tema. Si el caso final que se plantea resolver tiene cierto nivel de complejidad esta podría ser una de las metodologías que podría seguir.

Cuenta de usuario: 1) En general, registro para la autenticación, control y gestión de un usuario en un sistema informático. La información básica de este registro suele ser el nombre de usuario, su contraseña, por razones de seguridad en el acceso, y otros posibles datos complementarios, como por ejemplo: los privilegios del usuario, sus límites de consumo de recursos, el grupo de usuarios al que pertenece, su nombre completo, teléfono, estadísticas de accesos y consumos, etc. Se denomina login al ingreso del usuario y logoff a su salida de la cuenta. 2) En un sistema operativo multiusuario, parte de los recursos que se asigna a un usuario cuando entra y que forman su entorno de trabajo: su cuota de disco, sus caminos de acceso, privilegios, etc. A través de esta cuenta, el sistema operativo controla y contabiliza los recursos consumidos por cada usuario que accede, usualmente, con su nombre de usuario y contraseña. | Plural: Cuentas de usuario | Bibliografía: Salmerón, A.; et ál.; 1996

Investigación en informática forense

6 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de toda investigación es descubrir y presentar la verdad y por ello el objetivo de este módulo es hacerlo a partir de pruebas digitales. Dependiendo de los casos este proceso de investigación en informática forense puede implicar unas consecuencias poco relevantes, en algunos tener importancia económica y en otros una gran trascendencia, especialmente cuando están en relación con la libertad, las sanciones e incluso las penas.

[Cracker; Figura mkd]: Kevin David Mitnick, Condor, el primer Kevin, usualmente ocupa el primer lugar de los rankings históricos de crackers.

Por ello además de emplear una metodología de confianza hay que emplear técnicas que garanticen que el análisis, la interpretación y la presentación de los informes con pruebas digitales son fiables, objetivos y transparentes y justo este es el objetivo de este módulo.

Para alcanzar su objetivo este módulo se estructura cubriendo 3 áreas fundamentales de la investigación en informática forense:

  • El trabajo en la escena del delito donde pueden existir tanto pruebas físicas tradicionales como pruebas digitales.
  • La reconstrucción con pruebas digitales, la reconstrucción del comportamiento humano es como la resolución de un puzle multidimensional donde puede haber piezas evidentes y otras perdidas, dañadas y, por supuesto, escondidas.
  • Los perfiles, las motivaciones y el modus operandi de las personas que, aunque exista una larga tradición de estudio en criminología, en el área de las tecnologías de la información mezcla características clásicas con otras muy particulares.
[Cracker; Figura pkl]: Kevin Lee Poulsen, Dark Dante, el segundo Kevin, usualmente ocupa el segundo lugar de los rankings históricos de crackers.

Logout: Salida controlada de un usuario de su cuenta de usuario en un sistema informático. | Inglés: Logoff; Sign out | Alias: Salir; Salida

Ciberdelitos y ciberterrorismo

6 de febrero de 2017 Autor: Antonio Salmerón

 

El objetivo de este módulo se centra en los delitos más violentos, en los ciberdelitos, incluso en el ciberterrorismo, con víctimas y daños personales y materiales, en los ataques a las Administraciones del Estado y a las empresas privadas y en los delitos de acoso y en los sexuales, siempre desde el punto de vista de la informática forense y pericial.

[Ciber; Figura kyv]: [Kaspersky, Y.V.], creador del antivirus que lleva su nombre, da su opinión sobre los riesgos del ciberterrorismo, 7 de junio de 212.

Los delitos, especialmente los violentos, pueden llegar a ser difíciles de investigar cuando los sucesos son complejos y existen muchas personas relacionadas. Pero estos delitos no suceden en un vacío desconocido e intangible, si no en un mundo en el que pueden quedar múltiples pruebas de ello, tanto físicas como digitales. Por ejemplo:

  • en algunos casos, la víctima puede conocer o haber tenido relación con el delincuente, puede existir una larga historia anterior de angustia, incluso marcada por violencia,
  • en otros, el delito puede ser rápido, irreflexivo y destructivo creando y destruyendo pruebas o
  • puede ser el resultado de un largo período de preparación y anticipación.

Cualesquiera que sean las circunstancias del delito, la información es clave para:

  • determinar y comprender de las relaciones existentes entre la víctima y su agresor o agresores,
  • plantear la estrategia de investigación y
  • para recoger, examinar y valorar las pruebas, en este curso, digitales.

Hashing: Técnica para la generación de direcciones dentro de una estructura de datos, por ejemplo, una tabla o un fichero, a partir de una clave. Se realiza mediante una función, llamada función hash, que a partir de la clave retorna una posición en la estructura. Si es en inserción y esa posición está libre se inserta en esa posición y si no lo está se inserta en la siguiente posición libre. Si es en búsqueda y en esa posición está el elemento buscado se retorna y si no está el elemento se busca en las siguientes posiciones de forma secuencial hasta que aparece o se encuentra una posición libre que quiere decir que lo buscado no está en la estructura. A veces, en vez de búsquedas secuenciales a partir de posición retornada por la función hash, se vuelve a aplicar la función hash pasándole como parámetro adicional en número de intento. Existen diversos métodos de definir las funciones hash, su mayoría basados en distribuciones aleatorias uniformes de claves, con objeto de reducir al mínimo el número de colisiones. | Alias: Hash; Tabla hash | Bibliografía: Salmerón, A.; et ál.; 1996