¿Que es?
Es la utilización de información, archivos y datos contenidos en elementos tecnológicos para poder
presentarlos en un procedimiento legal, se puede manejar desde computadoras, telefonos y todo lo que tenga red internet
¿Que analizan?
Disco duro de una Computadora o Servidor
Documentación referida del caso
Logs de seguridad
Información de Firewalls
IP, redes
Software de monitoreo y seguridad
Credenciales de autentificación
Dispositivos de GPS
Impresora
Memoria USB
Diapositiva 2
¿Que ramas tiene la informatica forense?
Prosecución Criminal: La evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero
Litigación Civil: : Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense.
Investigación de Seguros: : La evidencia encontrada en computadoras, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones
Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial
Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales
Diapositiva 3
Etapas
El cómputo forense lleva a cabo una serie de etapas para recabar la o las evidencias que permitan esclarecer algún hecho, son identificación, preservación, análisis y presentación
Identificación
Preservación
Análisis
Presentación
Diapositiva 4
¿Caracteristicas?
Estas evidencias comparten una serie de características que dificultan el ejercicio de la computación forense:
1- Volatilidad
2- Anonimato
3- Facilidad de duplicación
4- Alterabilidad
5- Facilidad de eliminación
Diapositiva 5
¿Aplicaciones utilizadas?
AccessData Forensic ToolKit (FTK):
Procesa datos de archivos de correo electrónico, analizar el registro, llevar a cabo una investigación, descifrar archivos contraseñas y hacer informe de uma solucion
Herramientas de monitoreo
netcat (Command Line):
Permite abrir fácilmente conexiones de red TCP o UDP tanto para la creación de clientes/servidores y poner a prueba aplicaciones de diseño propio
OSForensic
utilidades para informática forense, esto es, para investigadores y todas aquellas personas que deseen comprobar qué se ha hecho con una computadora
: Herramientas de Hardware
qtparted (GUI Partitioning Tool):
Lee la mayoría de sistemas de ficheros,crea, copia y corta particiones.
Diapositiva 6
Roles de personas
Líder del caso: es aquel que planea y organiza todo el proceso de investigación digital. Debe identificar el lugar en donde se realizará la investigación, quienes serán los participantes y el tiempo necesario para esta.
Auditor/ingeniero especialista en seguridad de la información: conoce el escenario en donde se desarrolla la investigación. Tiene el conocimiento del modelo de seguridad en el cual ocurrieron los hechos y de los usuarios y las acciones que pueden realizar en el sistema. A partir de sus conocimientos debe entregar información crítica a la investigación.
Especialista en informática forense: es un criminalista digital que debe identificar los diferentes elementos probatorios informáticos vinculados al caso, determinando la relación entre los elementos y los hechos para descubrir el autor del delito.
Analista en informática forense: examina en detalle los datos, los elementos informáticos recogidos en la escena del crimen con el fin de extraer toda la información posible y relevante para resolver el caso.
Diapositiva 7
Echos que casi nadie conoce
se considera que el 75% de los delitos relacionados con sistemas informáticos se producen desde dentro de una organización
Durante 1999 el 93% de la información se generó en forma electrónica
La computación forense tiene aplicación en un amplio rango de crímenes incluido pero no limitado a: mal uso de la computadora que conlleve a pérdida de productividad de empleados Robo de secretos comerciales e industriales, robo o destrucción de propiedad intelectual, destrucción de archivos judiciales, de auditoría
La evidencia informática es frágil por definición y puede fácilmente ser alterada o modificada y así perder autenticidad frente a una corte. Se deben por lo tanto establecer rígidas normas de preservación y cadena de custodia de la misma