La Informtica Forense se encarga de analizar sistemas informticos en busca de

evidencia que colabore a llevar adelante una causa judicial o una negociacin extrajudicial.
Es la aplicacin de tcnicas y herramientas de hardware y software para determinar datos
potenciales o relevantes.
Tambin puede servir para informar adecuadamente al cliente acerca de las posibilidades
reales de la evidencia existente o supuesta.
Los naturales destinatarios de este servicio son los estudios jurdicos aunque cualquier
empresa o persona puede contratarlo.
La necesidad de este servicio se torna evidente desde el momento en que la enorme
mayora de la informacin generada est almacenada por medios electrnicos.
En la recuperacin de informacin nos enfrentamos con informacin que no es accesible
por medios convencionales, ya sea por problemas de funcionamiento del dispositivo que lo
contiene, ya sea porque se borraron o corrompieron las estructuras administrativas de
software del sistema de archivos. La informacin se perdi por un problema de fallo de la
tecnologa de hard y/o soft o bien por un error humano. El usuario nos indica su versin de
los hechos y a menudo encontramos sobre la falla original otras que el usuario o sus
prestadores tcnicos agregaron en un intento de recuperacin. As es que debemos
figurarnos a partir del anlisis del medio qu ocurri desde el momento en que todo
funcionaba bien y la informacin era accesible.
En informtica forense hablamos ya no slo de recuperacin de informacin sino
de descubrimiento de informacin dado que no hubo necesariamente una falla del
dispositivo ni un error humano sino una actividad subrepticia para borrar, adulterar u ocultar
informacin. Es por lo tanto esperable que el mismo hecho de esta adulteracin pase
desapercibido.
La informtica forense apela a nuestra mxima aptitud dado que enfrentamos desde casos
en que el dispositivo fue borrado, golpeado y daado fsicamente hasta ligeras alteraciones
de informacin que pueden constituir un crimen.
Este servicio es de utilidad a empresas que llevan adelante juicios laborales con sus
empleados, o con sus asociados por conflictos de intereses, a estudios jurdicos que
necesitan recabar informacin ya sea para presentarla frente a un tribunal o bien para
negociar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc. Es de
utilidad a los organismos judiciales y policiales que buscan evidencias de todo tipo de
crmenes. Es un componente indispensable en litigios civiles.
Algunos hechos:

se considera que el 75% de los delitos relacionados con sistemas informticos se

producen desde dentro de una organizacin (hacker dentro del muro de fuego).

Durante 1999 el 93% de la informacin se gener en forma electrnica (fuente: IDC)

La computacin forense tiene aplicacin en un amplio rango de crmenes incluido pero

no limitado a: mal uso de la computadora que conlleve a prdida de productividad de
empleados (uso personal de correo electrnico, uso de internet para actividades
personales o entretenimento). Robo de secretos comerciales e industriales, robo o
destruccin de propiedad intelectual, destruccin de archivos judiciales, de auditora,
etc.

La evidencia informtica es frgil por definicin y puede fcilmente ser alterada o

modificada y as perder autenticidad frente a una corte. Se deben por lo tanto
establecer rgidas normas de preservacin y cadena de custodia de la misma.

(INFORMATICA.COM, 2011)

Qu es la Informtica Forense?
Es la respuesta a vulneraciones en el uso que empleados y
extraos hacen de tus sistemas de informacin. Conoce de
qu se trata.
Desde que apareci Internet, uno de sus principales objetivos est
relacionado con su uso en las empresas y otras instituciones no
comerciales.

De hecho, la primera red de computadoras llamada "Arpanet"

(Advanced Research Projects Agency Network) fue creada a
peticin del Departamento de Defensa de EU como medio de
comunicacin para los diferentes organismos del pas.
De ah en adelante sus beneficios se multiplicaron hasta lo que es
ahora: una enorme plataforma que nos permite guardar y buscar
datos, adems de comunicarnos con cualquier empresa, sin importar
la ubicacin que posea en el mapa.
Sin embargo, tan importante como conocer sus beneficios es tambin
entender los riesgos inherentes a la seguridad, cuando se implementa
esta tecnologa.
De acuerdo con algunas empresas de investigacin, la seguridad de la
informacin seguir siendo una preocupacin ejecutiva durante, al
menos, los prximos cinco aos, debido a las nuevas olas
tecnolgicas que modificarn las medidas de seguridad existentes.
Precisamente, con el objetivo de reducir en porcentaje este problema,
es que aparece una nueva modalidad llamada "Informtica Forense",
que permite la solucin de conflictos tecnolgicos relacionados con
seguridad informtica y proteccin de datos.
Gracias a ella las empresas obtienen respuesta a:

Problemas de privacidad
Competencia desleal

Fraude
Robo de informacin confidencial

Espionaje industrial

Todos, problemas surgidos por un uso indebido de los beneficios que

nos entregan las tecnologas de la informacin.
La Informtica Forense

De qu se trata? Mediante sus procedimientos se identifican,

aseguran, extraen, analizan y presentan pruebas generadas y
guardadas electrnicamente para que puedan ser aceptadas en un
proceso legal.
Las distintas metodologas forenses incluyen la captura segura de
datos de diferentes medios digitales y evidencias digitales, sin alterar
la informacin de origen.
Las evidencias digitales recabadas permiten elaborar un dictamen
fundamentado y con justificacin de las hiptesis que en l se barajan
a partir de las pruebas recogidas.
Gracias a este proceso, la informtica forense aparece como una
"disciplina auxiliar" de la justicia moderna, para enfrentar los desafos
y tcnicas de los intrusos informticos, as como garante de la verdad
utilizando la "evidencia digital".
Funciona?

Durante julio de este ao se conoci el caso de la profesora

venezolana, Carmen Cecilia Nares Castro, acusada de desestabilizar
el mercado bancario de su pas, a travs del sistema Twitter.
Durante el proceso, investigado con informtica forense, fueron
analizados su computadora, su conexin a Internet, su telfono Nokia
y todos aquellos elementos que la pudieran vincular a la violada
cuenta en la red social.
Gracias a ello se puedo esclarecer la inocencia de la profesional,
quien "no haba ningn elemento en contra de mi cliente donde se
determinen culpabilidad", segn su abogado.
Otra investigacin llevada a cabo por el Munk Centre for International
Studies de la Universidad de Toronto (Canad) y el Departamento de
Ciencias de la Computacin de la Universidad de Cambridge
(Inglaterra), logr dejar al descubierto en abril de 2009 a una red de
espionaje ciberntico que operaba en 103 pases.
El malware que usaba GhostNet permita controlar a distancia los

ordenadores de varios gobiernos y compaas privadas -infectados

con l- pudiendo obtener documentos, activar la webcam y el
micrfono entre otras cosas.
Del mismo modo, en diciembre del ao pasado se conoci el caso de
un hombre que amenaz de muerte al hijo menor del presidente
lvaro Uribe a travs Facebook.
Este individuo apareci en un grupo de la red social, donde indicaba
textualmente: "Me comprometo a matar a Jernimo Alberto Uribe, hijo
de lvaro Uribe".
Tras cinco meses de investigacin en Internet, el hombre fue detenido
y puesto bajo la justicio ordinaria. Todo, gracias a las acciones
realizadas por los forenses informticos de ese pas.
(ALTO NIVEL S.A, 2012)

Concepto, Objetivos y Herramientas

de la Informtica Forense
Concepto Informatica Forense
La informtica forense, computacin forense, anlisis forense digital o
examinacin forense digital es la aplicacin de tcnicas cientficas y analticas
especializadas a infraestructura tecnolgica que permiten identificar, preservar,
analizar y presentar datos que sean vlidos dentro de un proceso legal.
Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos
residuales, autenticar datos y explicar las caractersticas tcnicas del uso
aplicado a los datos y bienes informticos.
Como la definicin anterior lo indica, esta disciplina hace uso no solo de
tecnologa de punta para poder mantener la integridad de los datos y del
procesamiento de los mismos; sino que tambin requiere de una especializacin
y conocimientos avanzados en materia de informtica y sistemas para poder
detectar dentro de cualquier dispositivo electrnico lo que ha sucedido.
La importancia de stos y el poder mantener su integridad se basa en que la
evidencia digital o electrnica es sumamente frgil. El simple hecho de darle
doble clic a un archivo modificara la ltima fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cmputo

forense puede llegar a recuperar informacin que haya sido borrada desde el
sistema operativo.

Informtica Forense o Forensic

- Para qu sirve? Para garantizar la efectividad de las polticas de seguridad y la proteccin
tanto de la informacin como de las tecnologas que facilitan la gestin de esa informacin.
- En qu consiste? Consiste en la investigacin de los sistemas de informacin con el fin de
detectar evidencias de la vulneracin de los sistemas.
- Cul es su finalidad? Cuando una empresa contrata servicios de Informtica forense puede
perseguir objetivos preventivos, anticipndose al posible problema u objetivos correctivos, para
una solucin favorable una vez que la vulneracin y las infracciones ya se han producido.
- Qu metodologas utiliza la Informtica forense? Las distintas metodologas forenses
incluyen la recogida segura de datos de diferentes medios digitales y evidencias digitales, sin
alterar los datos de origen. Cada fuente de informacin se cataloga preparndola para su
posterior anlisis y se documenta cada prueba aportada. Las evidencias digitales recabadas
permiten elaborar un dictamen claro, conciso, fundamentado y con justificacin de las hiptesis
que en l se barajan a partir de las pruebas recogidas.
- Cul es la forma correcta de proceder? Y, por qu? Todo el procedimiento debe hacerse
tenido en cuenta los requerimientos legales para no vulnerar en ningn momento los derechos
de terceros que puedan verse afectados. Ello para que, llegado el caso, las evidencias sean
aceptadas por los tribunales y puedan constituir un elemento de prueba fundamental, si se
plantea un litigio, para alcanzar un resultado favorable.

Objetivos de la Informtica forense

En conclusin, estamos hablando de la utilizacin de la informtica forense con una finalidad
preventiva, en primer trmino. Como medida preventiva sirve a las empresas para auditar,
mediante la prctica de diversas pruebas tcnicas, que los mecanismos de proteccin
instalados y las condiciones de seguridad aplicadas a los sistemas de informacin son
suficientes. Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de
corregirlas. Cuestin que pasa por redactar y elaborar las oportunas polticas sobre uso de los
sistemas de informacin facilitados a los empleados para no atentar contra el derecho a la
intimidad de esas personas.
Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informtica forense
permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrnicas, el
origen del ataque (si es una vulneracin externa de la seguridad) o las posibles alteraciones,
manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar
las actividades realizadas desde uno o varios equipos concretos.

Cuestiones tcnicas y legales de la informtica forense

Para realizar un adecuado anlisis de Informtica forense se requiere un equipo multidisciplinar
que incluya profesionales expertos en derecho de las TI y expertos tcnicos en metodologa
forense. Esto es as porque se trata de garantizar el cumplimiento tanto de los requerimientos
jurdicos como los requerimientos tcnicos derivados de la metodologa forense.

Dispositivos a analizar

La infraestructura informtica que puede ser analizada puede ser toda aquella que tenga
una Memoria (informtica), por lo que se pueden analizar los siguientes dispositivos:

Disco duro de una Computadora o Servidor

Documentacin referida del caso.

Logs de seguridad.

Credenciales de autentificacin

Trazo de paquetes de red.

Telfono Mvil o Celular, parte de la telefona celular,

Agendas Electrnicas (PDA)

Dispositivos de GPS.

Impresora

Memoria USB

Definiciones

Cadena de Custodia:La identidad de personas que manejan la evidencia en el tiempo

del suceso y la ultima revision del caso. Es responsabilidad de la persona que maneja la
evidencia asegurar que los articulos son registrados y contabilizados durante el tiempo en el
cual estan en su poder, y que son protegidos, llevando un registro de los nombres de las
personas que manejaron la evidencia o articulos con el lapso de tiempo y fechas de entrega y
recepcin.

Imagen Forense: Llamada tambin "Espejo" en ingles "Mirror", la cual es una copia bit
a bit de un medio electronico de almacenamiento. En la imagen quedan grabados los espacios
que ocupan los archivos, areas borradas incluyendo particiones escondidadas.

Analisis de Archivo: Examina cada archivo digital descubierto y crea una base de
datos de informacion relacionada al archivo (metadatos, etc..), consistente entre otras cosas en
la firma del archivo o hash (indica la integridad del archivo), autor, tamao, nombre y ruta, asi
como su creacion, ultimo acceso y fecha de modificacion.

Pasos del cmputo forense

El proceso de anlisis forense a una computadora se describe a continuacin:

Identificacin
Es muy importante conocer los antecedentes, situacin actual y el proceso que se quiere seguir
para poder tomar la mejor decisin con respecto a las bsquedas y la estrategia de
investigacin. Incluye muchas veces la identificacin del bien informtico, su uso dentro de la
red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de
la evidencia), la revisin del entorno legal que protege el bien y del apoyo para la toma de
decisin con respecto al siguiente paso una vez revisados los resultados.

Preservacin
Este paso incluye la revisin y generacin de las imgenes forenses de la evidencia para poder
realizar el anlisis. Dicha duplicacin se realiza utilizando tecnologa de punta para poder
mantener la integridad de la evidencia y la cadena de custodia que se requiere. Al realizar una
imagen forense, nos referimos al proceso que se requiere para generar una copia bit-a-bit de
todo el disco, el cual permitir recuperar en el siguiente paso, toda la informacin contenida y
borrada del disco duro. Para evitar la contaminacin del disco duro, normalmente se ocupan
bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo
que provocara una alteracin no deseada en los medios.

Anlisis
Proceso de aplicar tcnicas cientficas y analticas a los medios duplicados por medio del
proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar
bsquedas de cadenas de caracteres, acciones especficas del o de los usuarios de la mquina
como son el uso de dispositivos de USB (marca, modelo), bsqueda de archivos especficos,
recuperacin e identificacin de correos electrnicos, recuperacin de los ltimos sitios
visitados, recuperacin del cach del navegador de Internet, etc.

Presentacin
Es el recopilar toda la informacin que se obtuvo a partir del anlisis para realizar el reporte y la
presentacin a los abogados, la generacin (si es el caso) de una pericial y de su correcta
interpretacin sin hacer uso de tecnicismos.

Herramientas de Cmputo Forense

Sleuth Kit (Forensics Kit)

Py-Flag (Forensics Browser)

Autopsy (Forensics Browser for Sleuth Kit)

dcfldd (DD Imaging Tool command line tool and also works with AIR)

foremost (Data Carver command line tool)

Air (Forensics Imaging GUI)

md5deep (MD5 Hashing Program)

netcat (Command Line)

cryptcat (Command Line)

NTFS-Tools

qtparted (GUI Partitioning Tool)

regviewer (Windows Registry)

Viewer

X-Ways WinTrace

X-Ways WinHex

X-Ways Forensics

R-Studio Emergency (Bootable Recovery media Maker)

R-Studio Network Edtion

R-Studio RS Agent

Net resident

Faces

Encase

Snort

Helix

(Juristas Forenses y Asociados , 2012)