Informática Forense Introducción

Giovanni Zuccardi La informática forense está adquiriendo una gran

Juan David Gutiérrez importancia dentro del área de la información
electrónica, esto debido al aumento del valor de la
Noviembre de 2006 información y/o al uso que se le da a ésta, al desarrollo
de nuevos espacios donde es usada (por Ej. El Internet),
CONTENIDO y al extenso uso de computadores por parte de las
Introducción compañías de negocios tradicionales (por Ej. bancos).
¿Qué es la Informática Forense? Es por esto que cuando se realiza un crimen, muchas
Importancia de la Informática Forense veces la información queda almacenada en forma
Objetivos de la Informática Forense digital. Sin embargo, existe un gran problema, debido a
Usos de la Informática Forense que los computadores guardan la información de
Ciencia Forense información forma tal que no puede ser recolectada o
Network Forensics usada como prueba utilizando medios comunes, se
NFTA (Network Forensic Analysis Tool) deben utilizar mecanismos diferentes a los
Evidencia Digital tradicionales. Es de aquí que surge el estudio de la
Clasificación de la evidencia digital computación forense como una ciencia relativamente
Criterios de admisibilidad nueva.
Manipulación de la evidencia digital
Gestión de la evidencia digital Resaltando su carácter científico, tiene sus
Herramientas fundamentos en las leyes de la física, de la electricidad
y el magnetismo. Es gracias a fenómenos
electromagnéticos que la información se puede
almacenar, leer e incluso recuperar cuando se creía
eliminada.

La informática forense, aplicando procedimientos

estrictos y rigurosos puede ayudar a resolver grandes
crímenes apoyándose en el método científico, aplicado
a la recolección, análisis y validación de todo tipo de
pruebas digitales.

¿Qué es la Informática Forense?

Según el FBI, la informática (o computación) forense es

la ciencia de adquirir, preservar, obtener y presentar
datos que han sido procesados electrónicamente y
guardados en un medio computacional [ReEx00].

La informática forense hace entonces su aparición

como una disciplina auxiliar de la justicia moderna, para
enfrentar los desafíos y técnicas de los intrusos
informáticos, así como garante de la verdad alrededor
de la evidencia digital que se pudiese aportar en un
proce[Acis06].

Desde 1984, el Laboratorio del FBI y otras agencias que

persiguen el cumplimiento de la ley empezaron a
desarrollar programas para examinar evidencia
computacional.

Dentro de lo forense encontramos varias definiciones

[Acis06]:
Computación forense (computer forensics), que Objetivos de la Informática Forense
entendemos por disciplina de las ciencias forenses, que
considerando las tareas propias asociadas con la La informática forense tiene 3 objetivos, a saber:
evidencia, procura descubrir e interpretar la 1. La compensación de los daños causados por los
información en los medios informáticos para establecer criminales o intrusos.
los hechos y formular las hipótesis relacionadas con el 2. La persecución y procesamiento judicial de los
caso; o como la disciplina científica y especializada que criminales.
entendiendo los elementos propios de las tecnologías 3. La creación y aplicación de medidas para
de los equipos de computación ofrece un análisis de la prevenir casos similares.
información residente en dichos equipos.
Estos objetivos son logrados de varias formas, entre
Forensia en redes (network forensics), es un escenario ellas, la principal es la recolección de evidencia.
aún más complejo, pues es necesario comprender la
manera como los protocolos, configuraciones e Usos de la Informática Forense [InfFor01]
infraestructuras de comunicaciones se conjugan para
dar como resultado un momento específico en el Existen varios usos de la informática forense, muchos
tiempo y un comportamiento particular. de estos usos provienen de la vida diaria, y no tienen
que estar directamente relacionados con la informática
Esta conjunción de palabras establece un profesional forense:
que, entendiendo las operaciones de las redes de 1. Prosecución Criminal: Evidencia incriminatoria
computadores, es capaz, siguiendo los protocolos y puede ser usada para procesar una variedad de
formación criminalística, de establecer los rastros, los crímenes, incluyendo homicidios, fraude
movimientos y acciones que un intruso ha desarrollado financiero, tráfico y venta de drogas, evasión de
para concluir su acción. A diferencia de la definición de impuestos o pornografía infantil.
computación forense, este contexto exige capacidad de 2. Litigación Civil: Casos que tratan con fraude,
correlación de evento, muchas veces disyuntos y discriminación, acoso, divorcio, pueden ser
aleatorios, que, en equipos particulares, es poco ayudados por la informática forense.
frecuente. 3. Investigación de Seguros: La evidencia
encontrada en computadores, puede ayudar a
Forensia digital (digital forensics), forma de aplicar los las compañías de seguros a disminuir los costos
conceptos, estrategias y procedimientos de la de los reclamos por accidentes y
criminalística tradicional a los medios informáticos compensaciones.
especializados, con el fin de apoyar a la administración 4. Temas corporativos: Puede ser recolectada
de justicia en su lucha contra los posibles delincuentes información en casos que tratan sobre acoso
o como una disciplina especializada que procura el sexual, robo, mal uso o apropiación de
esclarecimiento de los hechos (¿quién?, ¿cómo?, información confidencial o propietaria, o aún
¿dónde?, ¿cuándo?, ¿por qué?) de eventos que podrían de espionaje industrial.
catalogarse como incidentes, fraudes o usos indebidos 5. Mantenimiento de la ley: La informática
bien sea en el contexto de la justicia especializada o forense puede ser usada en la búsqueda inicial
como apoyo a las acciones internas de las de órdenes judiciales, así como en la búsqueda
organizaciones en el contexto de la administración de de información una vez se tiene la orden
la inseguridad informática. judicial para hacer la búsqueda exhaustiva.

Importancia de la Informática Forense Ciencia Forense

"High-tech crime is one of the most important priorities La ciencia forense nos proporciona los principios y
of the Department of Justice"[JaRe96]. Con esta frase técnicas que facilitan la investigación del delito
podemos ver cómo poco a poco los crímenes criminal, en otras palabras: cualquier principio o técnica
informáticos, su prevención, y procesamiento se que puede ser aplicada para identificar, recuperar,
vuelven cada vez más importantes. Esto es respaldado reconstruir o analizar la evidencia durante una
por estudios sobre el número de incidentes reportados investigación criminal forma parte de la ciencia forense.
por las empresas debido a crímenes relacionados con la [ForIRT01]
informática. (Ver [CERT06])
Los principios científicos que hay detrás del
Sin embargo, la importancia real de la informática procesamiento de una evidencia son reconocidos y
forense proviene de sus objetivos. usados en procedimientos como:
  Recoger y examinar huellas dactilares y ADN. En este ejemplo hemos hablado de evidencias físicas,
 Recuperar documentos de un dispositivo en la ciencia forense tradicional hay varios tipos de
dañado. evidencias físicas:
 Hacer una copia exacta de una evidencia digital.  Evidencia transitoria: como su nombre indica
 Generar una huella digital con un algoritmo es temporal por naturaleza, por ejemplo, un
hash MD5 o SHA1 de un texto para asegurar olor, la temperatura, o unas letras sobre la
que este no se ha modificado. arena o nieve (un objeto blando o cambiante).
 Firmar digitalmente un documento para poder  Evidencia curso o patrón: producidas por
afirmar que es auténtico y preservar la cadena contacto, por ejemplo, la trayectoria de una
de evidencias. bala, un patrón de rotura de un cristal, patrones
de posicionamiento de muebles, etc.
Un forense aporta su entrenamiento para ayudar a los  Evidencia condicional: causadas por una acción
investigadores a reconstruir el crimen y encontrar o un evento en la escena del crimen, por
pistas. Aplicando un método científico analiza las ejemplo, la localización de una evidencia en
evidencias disponibles, crea hipótesis sobre lo ocurrido relación con el cuerpo, una ventana abierta o
para crear la evidencia y realiza pruebas, controles para cerrada, una radio encendida o apagada,
confirmar o contradecir esas hipótesis. Esto puede dirección del humo, etc.
llevar a una gran cantidad de posibilidades sobre lo que  Evidencia transferida: generalmente
pudo ocurrir, esto es debido a que un forense no puede producidas por contacto entre personas, entre
conocer el pasado, no puede saber qué ocurrió ya que objetos o entre personas y objetos. Aquí
sólo dispone de una información limitada. Por esto, sólo descubrimos el concepto de relación.
puede presentar posibilidades basadas en la
información limitada que posee. En la práctica las evidencias transferidas se dividen en
dos tipos, conocidas como:
Un principio fundamental en la ciencia forense, que  Transferencia por rastro: aquí entra la sangre,
usaremos continuamente para relacionar un criminal semen, pelo, etc.
con el crimen que ha cometido, es el Principio de  Transferencia por huella: huellas de zapato,
Intercambio o transferencia de Locard, (Edmond dactilares, etc.
Locard, francés fundador del instituto de criminalistica
de la universidad de Lion, podemos ver el esquema en Aunque en la realidad, estas últimas suelen mezclarse,
la figura 1. por ejemplo, una huella de zapato sobre un charco de
sangre.

El principio de intercambio de Locard se puede resumir

así:
1. El sospechoso se llevará lejos algún rastro de la
escena y de la víctima.
2. La víctima retendrá restos del sospechoso y
puede dejar rastros de si mismo en el
Figura 1: Principio de transferencia de Locard.
sospechoso.
3. El sospechoso dejará algún rastro en la escena.
Este principio fundamental viene a decir que cualquiera
o cualquier objeto que entra en la escena del crimen
El objetivo es establecer una relación entre los
deja un rastro en la escena o en la víctima y vice-versa
diferentes componentes:
(se lleva consigo), en otras palabras: “cada contacto
 la escena del crimen
deja un rastro”. En el mundo real significa que si piso la
 la víctima
escena del crimen con toda seguridad dejaré algo mío
ahí, pelo, sudor, huellas, etc. Pero también me llevaré  la evidencia física
algo conmigo cuando abandone la escena del crimen,  el sospechoso
ya sea barro, olor, una fibra, etc. Con algunas de estas
evidencias, los forenses podrán demostrar que hay una Para la correcta resolución del caso, todos estos
posibilidad muy alta de que el criminal estuviera en la componentes deben estar relacionados. Esto se conoce
escena del crimen. como el concepto de relación, que es lo que nos faltaba
para completar el principio de intercambio de Locard.
Las evidencias pueden, a su vez, ser transferidas de dos A diferencia de la documentación en papel, la evidencia
formas distintas: computacional es frágil y una copia de un documento
1. Transferencia directa: cuando es transferida almacenado en un archivo es idéntica al original. Otro
desde su origen a otra persona u objeto de aspecto único de la evidencia computacional es el
forma directa. potencial de realizar copias no autorizadas de archivos,
2. Transferencia indirecta: cuando es transferida sin dejar rastro de que se realizó una copia. [ComEvi02].
directamente a una localización y, de nuevo, es Esta situación crea problemas concernientes a la
transferida a otro lugar. investigación del robo de secretos comerciales, como
listas de clientes, material de investigación, archivos de
Importante resaltar que cualquier cosa y todo puede diseño asistidos por computador, fórmulas y software
ser una evidencia. propietario.

Brevemente, la ciencia forense facilita las Debe tenerse en cuenta que los datos digitales
herramientas, técnicas y métodos sistemáticos (pero adquiridos de copias no se deben alterar de los
científicos) que pueden ser usados para analizar una originales del disco, porque esto invalidaría la
evidencia digital y usar dicha evidencia para reconstruir evidencia; por esto los investigadores deben revisar con
qué ocurrió durante la realización del crimen con el frecuencia que sus copias sean exactas a las del disco
último propósito de relacionar al autor, a la víctima y la del sospechoso, para esto se utilizan varias tecnologías,
escena del crimen. como por ejemplo checksums o hash MD5 [DaVa01].

Network Forensics Cuando ha sucedido un incidente, generalmente, las

personas involucradas en el crimen intentan manipular
Forensia en redes, es un escenario aún más complejo, y alterar la evidencia digital, tratando de borrar
pues es necesario comprender la manera como los cualquier rastro que pueda dar muestras del daño. Sin
protocolos, configuraciones e infraestructuras de embargo, este problema es mitigado con algunas
comunicaciones se conjugan para dar como resultado características que posee la evidencia digital. [Casey04]
un momento específico en el tiempo y un  La evidencia de Digital puede ser duplicada de
comportamiento particular. Esta conjunción de forma exacta y se puede sacar una copia para
palabras establece un profesional que entendiendo las ser examinada como si fuera la original. Esto se
operaciones de las redes de computadores, es capaz, hace comúnmente para no manejar los
siguiendo los protocolos y formación criminalística, de originales y evitar el riesgo de dañarlos.
establecer los rastros, los movimientos y acciones que  Actualmente, con las herramientas existentes,
un intruso ha desarrollado para concluir su acción. A es muy fácil comparar la evidencia digital con
diferencia de la definición de computación forense, su original, y determinar si la evidencia digital
este contexto exige capacidad de correlación de ha sido alterada.
evento, muchas veces disyuntos y aleatorios, que en  La evidencia de Digital es muy difícil de
equipos particulares, es poco frecuente [Acis06]. eliminar. Aún cuando un registro es borrado del
disco duro del computador, y éste ha sido
Es la captura, almacenamiento y análisis de los eventos formateado, es posible recuperarlo.
de una red, para descubrir el origen de un ataque o un  Cuando los individuos involucrados en un
posible incidente. crimen tratan de destruir la evidencia, existen
copias que permanecen en otros sitios.
NFTA (Network Forensic Analysis Tool)
Clasificación de la evidencia digital
Evidencia Digital
Cano clasifica la evidencia digital que contiene texto en
Casey define la evidencia de digital como “cualquier 3 categorías [EviDig05]:
dato que puede establecer que un crimen se ha  Registros generados por computador: Estos
ejecutado (commit) o puede proporcionar un enlace registros son aquellos, que como dice su
(link) entre un crimen y su víctima o un crimen y su nombre, son generados como efecto de la
autor”. [Casey04] programación de un computador. Los registros
generados por computador son inalterables
“Cualquier información, que sujeta a una intervención por una persona. Estos registros son llamados
humana u otra semejante, ha sido extraída de un medio registros de eventos de seguridad (logs) y
informático” [HBIT03] sirven como prueba tras demostrar el correcto
 y adecuado funcionamiento del sistema o perjuicio de lo dispuesto en relación con los documentos
computador que generó el registro. emanados de terceros” [Ley446].
 Registros no generados sino simplemente
almacenados por o en computadores: Estos Para asegurar el cumplimiento de la autenticidad se
registros son aquellos generados por una requiere que una arquitectura exhiba mecanismos que
persona, y que son almacenados en el certifiquen la integridad de los archivos y el control de
computador, por ejemplo, un documento cambios de los mismos.
realizado con un procesador de palabras. En
estos registros es importante lograr demostrar Confiabilidad: Se dice que los registros de eventos de
la identidad del generador, y probar hechos o seguridad son confiables si provienen de fuentes que
afirmaciones contenidas en la evidencia misma. son “creíbles y verificable” [AdmEvi03]. Para probar
Para lo anterior se debe demostrar sucesos que esto, se debe contar con una arquitectura de
muestren que las afirmaciones humanas computación en correcto funcionamiento, la cual
contenidas en la evidencia son reales. demuestre que los logs que genera tiene una forma
 Registros híbridos que incluyen tanto registros confiable de ser identificados, recolectados,
generados por computador como almacenados almacenados y verificados.
en los mismos: Los registros híbridos son
aquellos que combinan afirmaciones humanas Una prueba digital es confiable si el “sistema que lo
y logs. Para que estos registros sirvan como produjo no ha sido violado y estaba en correcto
prueba deben cumplir los dos requisitos funcionamiento al momento de recibir, almacenar o
anteriores. generar la prueba” [EviDig05]. La arquitectura de
computación del sistema logrará tener un
Criterios de admisibilidad funcionamiento correcto siempre que tenga algún
mecanismo de sincronización del registro de las
En legislaciones modernas existen cuatro criterios que acciones de los usuarios del sistema y que a posea con
se deben tener en cuenta para analizar al momento de un registro centralizado e íntegro de los mismos
decidir sobre la admisibilidad de la evidencia: la registros.
autenticidad, la confiabilidad, la completitud o
suficiencia, y el apego y respeto por las leyes y reglas Suficiencia o completitud de las pruebas: Para que una
del poder judicial [AdmEvi03]. prueba esté considerada dentro del criterio de la
suficiencia debe estar completa. Para asegurar esto es
Autenticidad: Una evidencia digital será autentica necesario “contar con mecanismos que proporcionen
siempre y cuando se cumplan dos elementos: integridad, sincronización y centralización” [AdmEvi03]
 El primero, demostrar que dicha evidencia ha para lograr tener una vista completa de la situación.
sido generada y registrada en el lugar de los Para lograr lo anterior es necesario hacer una
hechos verdadera correlación de eventos, la cual puede ser
 La segunda, la evidencia digital debe mostrar manual o sistematizada.
que los medios originales no han sido
modificados, es decir, que los registros Apogeo y respeto por las leyes y reglas del poder
corresponden efectivamente a la realidad y que judicial: Este criterio se refiere a que la evidencia digital
son un fiel reflejo de la misma. debe cumplir con los códigos de procedimientos y
disposiciones legales del ordenamiento del país. Es
A diferencia de los medios no digitales, en los digitales decir, debe respetar y cumplir las normas legales
se presenta gran volatilidad y alta capacidad de vigentes en el sistema jurídico.
manipulación. Por esta razón es importante aclarar que
es indispensable verificar la autenticidad de las pruebas Manipulación de la evidencia digital
presentadas en medios digitales contrario a los no
digitales, en las que aplica que la autenticidad de las Es importante tener presente los siguientes requisitos
pruebas aportadas no será refutada, de acuerdo por lo que se deben cumplir en cuanto a la manipulación de la
dispuesto por el artículo 11 de la ley 446 de 1998: evidencia digital.
“Autenticidad de documentos. En todos los procesos, los
documentos privados presentados por las partes para  Hacer uso de medios forenses estériles (para
ser incorporados a un expediente judicial con fines copias de información)
probatorios, se reputarán auténticos, sin necesidad de  Mantener y controlar la integridad del medio
presentación personal ni autenticación. Todo ello sin original. Esto significa que, a la hora de
recolectar la evidencia digital, las acciones
 realizadas no deben cambiar nunca esta a) Principios durante la recolección de evidencia:
evidencia. orden de volatilidad de los datos, cosas para
 Cuando sea necesario que una persona tenga evitar, consideraciones de privacidad y legales.
acceso a evidencia digital forense, esa persona b) El proceso de recolección: transparencia y
debe ser un profesional forense. pasos de recolección.
 Las copias de los datos obtenidas, deben estar c) El proceso de archivo: la cadena de custodia y
correctamente marcadas, controladas y donde y como archivar.
preservadas. Y al igual que los resultados de la
investigación, deben estar disponibles para su Guía de la IOCE
revisión. La IOCE [IOCE06], publico “Guía para las mejores
 Siempre que la evidencia digital este en poder prácticas en el examen forense de tecnología digital”
de algún individuo, éste será responsable de (Guidelines for the best practices in the forensic
todas las acciones tomadas con respecto a ella, examination of digital technology) [IOCE02]. El
mientras esté en su poder. documento provee una serie de estándares, principios
 Las agencias responsables de llevar el proceso de calidad y aproximaciones para la detección
de recolección y análisis de la evidencia digital, prevención, recuperación, examinación y uso de la
serán quienes deben garantizar el evidencia digital para fines forenses. Cubre los
cumplimiento de los principios anteriores. sistemas, procedimientos, personal, equipo y
requerimientos de comodidad que se necesitan para
Gestión de la Evidencia digital todo el proceso forense de evidencia digital, desde
examinar la escena del crimen hasta la presentación en
Existen gran cantidad de guías y buenas prácticas que la corte. Su estructura es:
nos muestran cómo llevar acabo la gestión de la a) Garantía de calidad (enunciados generales de
evidencia digital. roles, requisitos y pruebas de aptitud del
personal, documentación, herramientas y
Las guías que se utilizan tienen como objetivo validación de las mismas y espacio de trabajo).
identificar evidencia digital con el fin de que pueda ser b) Determinación de los requisitos de examen del
usada dentro de una investigación. Estas guías se basan caso.
en el método científico para concluir o deducir algo c) Principios generales que se aplican a la
acerca de la información. Presentan una serie de etapas recuperación de la evidencia digital
para recuperar la mayor cantidad de fuentes digitales (recomendaciones generales, documentación y
con el fin de asistir en la reconstrucción posterior de responsabilidad).
eventos. Existen diferentes tipos de planteamientos, d) Prácticas aplicables al examen de la evidencia
estos varían dependiendo del criterio de la institución de digital.
y/o personas que definen la guía, como se define a e) Localización y recuperación de la evidencia de
continuación. digital en la escena: precauciones, búsqueda en
la escena, recolección de la evidencia y
Guías Mejores Prácticas empaquetado, etiquetando y documentación.
f) Priorización de la evidencia.
A continuación, se enuncian siete guías existentes a g) Examinar la evidencia: protocolos de análisis y
nivel mundial de mejores prácticas en computación expedientes de caso.
forense. h) Evaluación e interpretación de la evidencia
i) Presentación de resultados (informe escrito).
RFC 3227 j) Revisión del archivo del caso: Revisión técnica y
El “RFC 3227: Guía Para Recolectar y Archivar revisión administrativa.
Evidencia” (Guidelines for Evidence Collection and k) Presentación oral de la evidencia.
Archiving) [GuEvCo02], escrito en febrero de 2002 por l) Procedimientos de seguridad y quejas.
Dominique Brezinski y Tom Killalea, ingenieros del
Network Working Group. Es un documento que provee Investigación en la Escena del Crimen Electrónico
una guía de alto nivel para recolectar y archivar datos (Guía DoJ 1)
relacionados con intrusiones. Muestra las mejores El Departamento de Justicia de los Estados Unidos de
prácticas para determinar la volatilidad de los datos, América (DoJ EEUU), publico “Investigación En La
decidir que recolectar, desarrollar la recolección y Escena Del Crimen Electrónico” (Electronic Crime Scene
determinar cómo almacenar y documentar los datos. Investigation: A Guide for First Responders) [ElCr01].
También explica algunos conceptos relacionados a la Esta guía se enfoca más que todo en identificación y
parte legal. Su estructura es: recolección de evidencia. Su estructura es:
 a) Dispositivos electrónicos (tipos de dispositivos publico “Guía de Buenas Prácticas para Evidencia
se pueden encontrar y cuál puede ser la posible basada en Computadores” (Good Practice Guide For
evidencia). Computer Based Evidence) [GoPra99]. La policía creó
b) Herramientas para investigar y equipo. este documento con el fin de ser usado por sus
c) Asegurar y evaluar la escena. miembros como una guía de buenas prácticas para
d) Documentar la escena. ocuparse de computadores y de otros dispositivos
e) Recolección de evidencia. electrónicos que puedan ser evidencia. Su estructura
f) Empaque, transporte y almacenamiento de la es:
evidencia. a) Los principios de la evidencia basada en
g) Examen forense y clasificación de delitos. computadores.
h) Anexos (glosario, listas de recursos legales, b) Oficiales atendiendo a la escena.
listas de recursos técnicos y listas de recursos c) Oficiales investigadores.
de entrenamiento). d) Personal para la recuperación de evidencia
basada en computadores.
Examen Forense de Evidencia Digital (Guía DoJ 2) e) Testigos de consulta externos.
Otra guía del DoJ EEUU, es “Examen Forense de f) Anexos (legislación relevante, glosario y
Evidencia Digital” (Forensic Examination of Digital formatos)
Evidence: A Guide for Law Enforcement) [FoEx04]. Esta
guía está pensada para ser usada en el momento de Guía Para El Manejo De Evidencia En IT (Guía
examinar la evidencia digital. Su estructura es: Australia)
a) Desarrollar políticas y procedimientos con el fin Standards Australia (Estándares de Australia) publico
de darle un buen trato a la evidencia. “Guía Para El Manejo De Evidencia En IT” (HB171:2003
b) Determinar el curso de la evidencia a partir del Handbook Guidelines for the management of IT
alcance del caso. evidence) [HBIT03]. Esta guía no está disponible para su
c) Adquirir la evidencia. libre distribución, por esto para su investigación se
d) Examinar la evidencia. consultaron los artículos “Buenas Prácticas En La
e) Documentación y reportes. Administración De La Evidencia Digital” [BueAdm06] y
f) Anexos (casos de estudio, glosario, formatos, “New Guidelines to Combat ECrime” [NeGu03]. Es una
listas de recursos técnicos y listas de recursos guía creada con el fin de asistir a las organizaciones para
de entrenamiento). combatir el crimen electrónico. Establece puntos de
referencia para la preservación y recolección de la
Computación Forense - Parte 2: Mejores Prácticas evidencia digital.
(Guía Hong Kong)
El ISFS, Information Security and Forensic Society Detalla el ciclo de administración de evidencia de la
(Sociedad de Seguridad Informatica y Forense) creada siguiente forma:
en Hong Kong, publico “Computación Forense - Parte 2: a) Diseño de la evidencia.
Mejores Prácticas” (Computer Forensics – Part 2: Best b) Producción de la evidencia.
Practices) [CoFor04]. Esta guía cubre los c) Recolección de la evidencia.
procedimientos y otros requerimientos necesarios d) Análisis de la evidencia.
involucrados en el proceso forense de evidencia digital, e) Reporte y presentación.
desde el examen de la escena del crimen hasta la f) Determinación de la relevancia de la evidencia.
presentación de los reportes en la corte. Su estructura
es: Herramientas
a) Introducción a la computación forense.
b) Calidad en la computación forense. Figuras
c) Evidencia digital.
d) Recolección de Evidencia. Figura 1: Principio de transferencia de Locard.
e) Consideraciones legales (orientado a la
legislación de Hong Kong). Bibliografía
f) Anexos.
[ReEx00] Michael G. Noblett. (2000) Recovering and
Guía De Buenas Prácticas Para Evidencia Basada En Examining Computer Forensic Evidence. Disponible en:
Computadores (Guía Reino Unido)
La ACPO, Association of Chief Police Officers http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/com
(Asociación de Jefes de Policía), del Reino Unido puter.html
mediante su departamento de crimen por computador,
[ScWo00] Scientific Working Group on Digital Evidence Electronic Crime Scene Investigation: A Guide for First
(SWGDE) (2000) Digital Evidence: Standards and Responders, 2001
Principles. Disponible en:
http://www.fbi.gov/hq/lab/fsc/backissu/april2000/sw [GuEvCo02] BREZINSKI, D. y KILLALEA, T. (2002) RFC
gde.htm 3227: Guidelines for Evidence Collection and Archiving.
Network Working Group. February. Disponible:
[InfFor01] Óscar López, Haver Amaya, Ricardo León. http://www.rfceditor.org/rfc/rfc3227.txt
(2001) Informática forense: generalidades, aspectos
técnicos y herramientas [IOCE02]. IOCE, Guidelines for the best practices in the
forensic examination of digital technology, 2002.
[ForIRT01] Antonio Javier García Martínez. (2001) LA Disponible:
FORMACIÓN DE UN IRT (Incident Response Team) http://www.ioce.org/2002/ioce_bp_exam_digit_tech.
FORENSE html

[ComEvi01] Computer Evidence Defined [IOCE06]. IOCE, International Organization of Computer

http://www.forensics-intl.com/def3.html Evidence. Disponible:
http://www.ioce.org
[BueAdm06] Cano Martines Jeimy José. (2006) Buenas
prácticas en la administración de la evidencia digital [FoEx04] US DEPARTMENT OF JUSTICE, Forensic
Disponible: examination of digital evidence. A guide for law
http://gecti.uniandes.edu.co/docs/buenas%20practica enforcement. Special Report, 2004
%20evidencia%20digital%20jcano.pdf [May 2006]
[CoFor04]. INFORMATION SECURITY AND FORENSICS.
[DaVa01] Brian Deering. Data Validation Using The Md5 Computer forensics. Part2: Best Practices, 2004
Hash http://www.forensics-intl.com/art12.html Disponible:
http://www.isfs.org.hk/publications/ComputerForensi
[JaRe96] Janet Reno, U.S. Attorney General, Oct 28, cs/ComputerForensics part2.pdf
1996
[GoPra99]. ASSOCIATION OF CHIEF POLICE OFFICERS
[CERT06] CERT/CC Statistics 1988-2006 Disponible en: Good practice guide for computer based evidence,
http://www.cert.org/stats/cert_stats.html 1999. Disponible:
http://www.digitaldetective.co.uk/documents/acpo.p
[HBIT03] HB171:2003 Handbook Guidelines for the df
management of IT evidence Disponible en:
http://unpan1.un.org/intradoc/groups/public/docume [NeGu03]. GODFREY, T. New Guidelines to Combat E-
nts/APCITY/UNPAN016 411.pdf Crime, 2003. Disponible:
http://www.saiglobal.com/newsroom/tgs/2003-
[Casey04] CASEY, Eoghan. “Digital Evidence and 09/cyberforensics/cyberforensics.htm
Computer Crime: Forensic Science, Computers, and the
Internet”. 2004 [Acis06] Cano Martines Jeimy José. Introducción a la
informática forense. Revista ACIS Junio de 2006
[EviDig05] Cano Martines Jeimy José, Mosquera Disponible en:
González José Alejandro, Certain Jaramillo Andrés http://www.acis.org.co/fileadmin/Revista_96/dos.pdf
Felipe. Evidencia Digital: contexto, situación e
implicaciones nacionales. Abril de 2005.
http://derecho.uniandes.edu.co/derecho1/export/der
echo/descargas/texto/NasTecnologias6.pdf

[AdmEvi03] Cano Martines Jeimy José. Admisibilidad de

la Evidencia Digital: Algunos Elementos de Revisión y
Análisis. Agosto de 2003.
http://www.alfaredi.org/rdi-articulo.shtml?x=1304

[Ley446] Ley 446 de Julio de 1998, http://pegasus.javeriana.edu.co/~edigital/Docs/Infor

http://www.sic.gov.co/Normatividad/Leyes/Ley%2044 matica%20Forense/Informatica%20Forense%20v0.6.p
6-98.php [ElCr01] US DEPARTMENT OF JUSTICE, df