Introducción al Derecho

14 de marzo de 2015 Autor: Antonio Salmerón

 

La informática forense, dentro de las ciencias forenses, es la que aplica técnicas informáticas a computadores y, en general, a dispositivos digitales para encontrar, identificar, preservar, analizar, demostrar y presentar información:

  • para que sea válida bien en procesos de enjuiciamiento criminal por delitos informáticos o por delitos en los que ha intervenido la informática o bien en litigios entre personas, ya sean personas físicas o jurídicas y
  • en las investigaciones internas de las organizaciones, siempre dentro del marco de la legalidad vigente, pudiendo llegar o no los resultados de estas investigaciones a los tribunales de justicia.

Por tanto, el perito informático, como profesional de la informática forense, además de ser conocedor y experto en informática, ha de tener las nociones necesarias de Derecho que le permitan ejercer correctamente sus funciones como perito judicial ante los tribunales y ante sus clientes y la sociedad.

Faltándole estos conocimientos de Derecho, el perito informático corre 2 riesgos:

  • que los resultados de todo su trabajo, sus análisis de las pruebas digitales, sus conclusiones, sus dictámenes, etc. sean descalificados e impugnados durante su presentación judicial y
  • que durante su investigación, bien presionado por sus clientes, las circunstancias o en su afán explorador rompa los límites legales y se enfrente a consecuencias más graves.

Frente a lo anterior, el objetivo de este módulo es obtener unos conocimientos iniciales de Derecho, para ello se sigue [Ibáñez Angulo, F.; 2006] entre otra bibliografía y legislación que se irá citando dentro de cada uno de los siguientes temas que dan estructura a este módulo:

  • El concepto, las funciones y las clasificaciones del Derecho.
  • Las fuentes del Derecho: la Ley, la costumbre y los principios generales del Derecho, junto con la jurisprudencia que los complementa.
  • La organización de los poderes del estado: el ejecutivo, el legislativo y el judicial.
  • Las normas y rangos normativos: la Constitución, las leyes y los reglamentos.
  • Las instituciones de la Unión Europea, CE, que, con su organización y su Derecho Comunitario, son una estructura de nivel supranacional con una influencia sobre el Derecho cada vez mayor.
[Derecho; Figura iei]: Esquema del módulo de introducción al Derecho.

Recoger: En informática forense, proceso por el cual las pruebas digitales son duplicadas, copiadas o, mejor aún, se crea una copia imagen de ellas para que su análisis se realice sobre estas copias y no sobre las pruebas digitales originales. | Inglés: Acquisition

Sujetos, objetos y plazos en Derecho

25 de febrero de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo es estudiar los conceptos de sujeto y objeto del Derecho, sus características y clasificaciones, y los institutos de prescripción y caducidad en Derecho, para ello se sigue a [Ibáñez Angulo, F.; 2006], entre otra bibliografía y legislación que se irá citando en cada tema.

[Derecho; Figura sop]: Esquema ilustrativo de los conceptos de sujeto, objeto y plazos en Derecho.

Adicionalmente, dentro de este módulo, se profundizará un poco más en el software, que como cosa inmaterial, y frente al hardware, cosa material, es una clase de objeto del Derecho que reviste especial interés desde el punto de vista de la informática forense y pericial. Para esta profundización se sigue a [Pérez Pueyo, M.A.; 2001] junto con otra bibliografía y legislación adicional que se irá citando.

Black Hat: Entidad que organiza eventos, a nivel mundial, sobre informática técnica y seguridad. | Url: https://www.blackhat.com

Perito judicial

14 de marzo de 2015 Autor: Antonio Salmerón

 

La informática forense y el perito informático, como perito judicial, tiene un ámbito de actuación muy amplio y cada vez mayor en todo tipo de procesos de enjuiciamiento, tanto civiles como criminales:

  • bien en aquellos en los que existen algunas pruebas digitales
  • como en aquellos en los que las tecnologías de la información están en el centro del proceso y,
  • más aun en aquellos calificados específicamente como delitos informáticos.
[Perito; Figura cpb]: Proceso de cracking de las contraseñas de un sistema informático por fuerza bruta.

Baste a modo de ejemplo de estos últimos, enumerar las siguientes clases de casos:

  • Acceso o copia de ficheros de empresa con planos, fórmulas, costes, precios, datos de clientes, etc.
  • Acoso a través de las redes sociales, como Facebook, Twitter o Tuenti, o por medios electrónicos, por ejemplo, por correo electrónico o SMS.
  • Apropiación y difusión de datos o información reservada.
  • Ataques a sistemas informáticos, tanto internos como externos de personas, empresas o de la Administración Pública.
  • Delitos contra el mercado o contra los consumidores.
  • Delitos contra la propiedad industrial por espionaje o por revelación de secretos.
  • Delitos contra la propiedad intelectual, por ejemplo, por copia o difusión de libros en formato digital, de música, de vídeos, etc.
  • Delitos económicos o societarios, como estafas, fraudes, alteración de precios, etc. usando medios electrónicos.
  • Despido de personal a causa de la introducción de tecnologías de la información.
  • Edición, divulgación, acceso o posesión de pornografía ilegal, como por ejemplo, la pornografía infantil.
  • Interceptación de las telecomunicaciones, por ejemplo, de los [usuarios], de las empresas, de los partidos políticos, etc.
  • Inyección de programas infecciosos, como virus y gusanos, dentro de sistemas informáticos.
  • Manipulación indebida de programas.
  • Piratería informática, por ejemplo, por difusión o uso de software sin licencia o sin autorización.
  • Protección de datos personales y de datos reservados de personas jurídicas.
  • Publicidad engañosa o correo electrónico spam.
  • Robo de datos bancarios, por ejemplo, mediante phising.
  • Robo de identidad o falsificación por medios electrónicos.
  • Robo de información personal, por ejemplo, mediante keyloggers.
  • Sabotaje y daños por destrucción de hardware o alteración de datos.
  • Uso de programas ocultos como son los caballos de Troya, los backdoors, los rootkits, etc.
  • Uso indebido de la información por empleados desleales.
  • Uso ilegal o abusivo de sistemas informáticos.
  • Valoración de bienes informáticos, tanto hardware como software.
  • Valoración del coste del desarrollo de aplicaciones.
  • Vulneración de la buena fe contractual existiendo documentos electrónicos.
  • Vulneración de la intimidad mediante lectura del correo electrónico privado.
  • etc.

Por ello, el objetivo de este módulo es obtener los conocimientos necesarios para ejercer como perito judicial y hacerlo conforme a la legislación que se ira citando a lo largo de los temas de este módulo que se organización tal y como se representa en la siguiente figura.

[Perito; Figura]: Mapa de la organización del módulo del perito judicial.

Por ello, el objetivo de este módulo es obtener los conocimientos necesarios para ejercer como perito judicial y hacerlo conforme a la legislación que se ira citando a lo largo de los temas de este módulo que se organización tal y como a como se representa en la anterior figura.

Las referencias bibliográficas fundamentales para este módulo son: [Font Serra, E.; 1974], [Font Serra, E.; 2000], [López Serra, J.M.; 2010], [Lorca Navarrete A.M.; 2000], [Montero Aroca, J.; 1998], [Montero Aroca, J.; et ál.; 2000], [Muñoz Sabaté, Ll.; 1993], [Picó i Junoy, J.; 2000] y [Vázquez Iruzubieta C.; 2000].

Arranque: Ejecución automática del cargador inicial del computador al conectarse la alimentación. En los computadores clásicos necesitan del mandato de su operador o administrador y actualmente se realiza automáticamente. | Inglés: Boot; Bootstrapping | Plural: Arranques | Bibliografía: Salmerón, A.; et ál.; 1996 ;

Derecho informático

14 de marzo de 2015 Autor: Antonio Salmerón

 

La evolución de la informática y las telecomunicaciones está causando grandes cambios en la sociedad pero no siempre de forma beneficiosa y por ello el Derecho ha de adecuarse, como está haciendo, a los nuevos desarrollos tecnológicos. Adicionalmente, la información, que proporciona un poder a los que la poseen, es cada vez más accesible a más de personas:

  • lo que por un lado aporta beneficios a la sociedad, por ejemplo, a través de la difusión y democratización del conocimiento
  • pero que por otro puede llegar a convertirse en un instrumento de presión y control de masas, eso se hace patente si se observa que este aumento de la información incluye también a toda la relativa a las propias personas.

De ahí, de nuevo, la necesidad de regular lo relacionado con la informática, el registro y el proceso automático de la información y su comunicación a través del Derecho. Adicionalmente, por la relación entre el mundo tecnológico y el empresarial existen importantes intereses económicos que el Derecho ha de regular. Por todo ello, el Derecho puede proporcionar a la informática la regulación jurídica que es necesaria para su desarrollo y es esto lo que se conoce como Derecho Informático.

Se podría llegar a considerar que el Derecho Informático marca un punto de inflexión en el Derecho, pues todas las áreas del Derecho se ven afectadas de una u otra forma por la actual sociedad de la información y del conocimiento.

El Derecho se está adaptando:

  • Incluyendo los aspectos de las nuevas tecnología en leyes clásicas como ha hecho sobre el [CPenal; 10/1995] Código Penal las modificaciones introducidas por [LO; 5/2010].
  • Con leyes dedicadas fundamentalmente a acotar los excesos y los perjuicios de la informática, aunque como: la [LOPD; 15/1999] de Protección de Datos de Carácter Personal o la [Ley; 34/2002] de Servicios de la Sociedad de la Información y de Comercio Electrónico.
  • Con leyes dedicadas fundamentalmente a potenciar los beneficios de la informática de forma que lleguen a todos los ciudadanos como [PAE; 2012]: Ley 20/2011 de 21 de julio, del Registro Civil, que supone la implantación de un nuevo modelo de Registro Civil electrónico con una base de datos única para toda España, adaptado a las nuevas tecnologías y a las necesidades de los ciudadanos, Ley 18/2011, de 5 de julio, Reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia, que para incorporar en las oficinas judiciales nuevas tecnologías, interoperabilidad y seguridad, Real Decreto 368/2010 de 26 de marzo, por el que se regula el empleo del Documento Único Electrónico, DUE, para la puesta en marcha de las empresas individuales telemáticamente, BOE del 16 de abril de 2010, Real Decreto 3/2010 de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, BOE del 29 de enero de 2010 y BOE consolidado y sin errores de 11 de marzo de 2010, Ley 56/2007 de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, BOE del 29 de diciembre de 2007, etc.

Aunque hay quien todavía se cuestiona si existe el Derecho Informático como disciplina, es claro que si no lo es lo será en un futuro muy próximo incluyendo tanto normas que son propiamente de Derecho Informático como otras de otras áreas pero que incluyen referencias importantes al Derecho Informático. Actualmente se pueden destacar las siguientes áreas, de las que las 3 primeras se estudiarán dentro de este módulo:

  • La protección jurídica del software.
  • La protección jurídica de la información personal.
  • La protección jurídica de las comunicaciones y de sus usuarios.
  • La Administración Pública electrónica, el valor de los documentos digitales y el Esquema Nacional de Seguridad.
  • Los delitos informáticos que por su relevancia desde el punto de vista de la informática forense y pericial se le dedica un módulo por separado.

[Martín, R.M.; 2008] proporciona las 3 siguientes razones a favor de la autonomía del Derecho de la Informática:

  • Objeto delimitado: Que está constituido por la tecnología del hardware y del software con sus implicaciones económicas, sociales, culturales y políticas frente a las que el Derecho ha de reglamentar, pues es el Derecho la principal forma de organizar la vida social y la informática incide ya en casi todos los aspectos sociales.
  • Metodología específica: Para abordar adecuadamente esta disciplina jurídica se ha de tener en cuenta que: a) La reglamentación jurídica de la informática debe adaptarse a la situación de constantes cambios e innovaciones que caracterizan esta tecnología, por ello, es conveniente que su disciplina normativa responda a unos principios generales para disminuir la necesidad de introducir variaciones constantes en las normas y permitir a los órganos encargados de su aplicación adoptar los principios a las situaciones que sucesivamente se presenten. b) La informática y la telecomunicación rebasan los límites de los Estados, baste pensar que para muchos delitos en internet ya no hay fronteras, y por ello el Derecho de la Informática debe concebirse casi como un Derecho internacional. c) El Derecho Informático rebasa los términos de la dicotomía entre el Derecho público y el Derecho privado siendo esta interdisciplinariedad uno de sus rasgos característico.
  • Sistema de fuentes: Existen ya fuentes legislativas, jurisprudenciales y doctrinales del Derecho Informático.
[Autor; Figura iie]: Proceso de ingeniería inversa, ventanas de ensamblador, volcado hexadecimal, contenido de los registros y traza.

Parche: Cambios que se aplican a un programa fundamentalmente para corregir errores, pero también para agregarle funcionalidad o actualizarlo. Puede ser desarrollados por los autores originales o terceros. Puede ser aplicado al programa binario, ejecutable, o al código fuente. | Inglés: Patch | Plural: Parches

Informática y Derecho Penal

14 de marzo de 2015 Autor: Antonio Salmerón

 

La informática y el Derecho Penal son 2 ámbitos que evolucionan a una velocidad muy diferente, pero que en la realidad social se coinciden y en la práctica en los tribunales han de encontrarse.

Al poner en conexión la informática y el Derecho Penal en el mundo actual se pueden observar 3 hechos fundamentales:

  • Que la informática ha generado nuevas formas de criminalidad que han producido cambios en el Derecho Penal y que, posiblemente, han de producir nuevos cambios en el futuro.
  • Adicionalmente, que hay clases de delitos tradicionales que con el uso de las nuevas tecnologías se han transformado y con internet se han potenciado e incluso se han deslocalizado.
  • Finalmente, que la investigación de los delitos, en el actual estado tecnológico y dentro del marco de la Ley de Enjuiciamiento Criminal, de la Constitución y de sus garantías, implica que los peritos, los informáticos forenses, la policía, etc. ha de aplicar nuevas técnicas y se ha de adaptar, como se está haciendo, a la evolución tecnológica para por hacer frente a esta nueva realidad delictiva.
[Penal; Figura pdf]: Imagen del fichero PDF del Código Penal de 1995 disponible en el sitio web del BOE junto con parte de la información interna.

Por ello, el objetivo de este módulo es poner en conexión la informática y, en especial, la informática forense y pericial, con el Derecho Penal.

No existe en el Derecho penal español un delito informático propiamente dicho, sino un conjunto de figuras delictivas en las que la informática adquiere un papel relevante en la descripción del comportamiento típico, bien como objeto material, bien como medio comisivo.

En el [CPenal; 10/1995] con las modificaciones introducidas por:

  • [LO; 15/2003], Ley Orgánica 15/2003, de 25 de noviembre, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal y
  • [LO; 5/2010], Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Pueden señalarse, con carácter general, las figuras delictivas que se enumeran en los temas de este módulo como las más relevantes dentro de este ámbito.

Software malicioso: Software desarrollado con el objetivo de acceder o dañar a una clase de sistemas de información en general o a un sistema de información en concreto. | Inglés: Malware; Malicious software; Badware | Alias: Código maligno

Criminalística para informáticos forenses y peritos

5 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este tema es realizar una introducción al empleo del método científico en la criminalística, la razón de ello es que el método científico es de aplicación general a todas las ciencias forenses y, por tanto, también lo es en la informática forense.

Cuando en un siguiente módulo se presenten diferentes metodologías específicas para la informática forense se ha de tener en cuenta que todas estas metodologías tienen como base y fundamento el método científico. Por ello, el objetivo de este tema es obtener los conocimientos necesarios de aplicación del método científico a la criminalística y para ello se sigue [ESUPOL; 1996] entre otra bibliografía.

Las experiencias de años de trabajo en la investigación de hechos delictivos, tanto en su perspectiva histórica como por países, demuestran que uno de los factores que influyen en los errores de juicio y de razonamiento de los elementos de prueba que técnicamente se aportaran en el desarrollo de los procedimientos judiciales, es la no aplicación del método científicos y de las tecnológicos disponibles en las diferentes disciplinas científicas que forman la criminalística y que tienen por objetivo recoger, comprender, analizar y evaluar los aspectos técnicos que aparecen en la comisión de los hechos delictivos.

[Bentham, J.; Figura dfp]: Esquema de la decisión fundada en una prueba.

Este módulo se estructura en 3 temas:

  • El objetivo del primero es la introducción a la criminalística y al método científico, al inductivo y al deductivo que servirá de base para comprender, en un módulo metodológico posterior, el proceso de investigación del informático forense, especialmente para el planteamiento de hipótesis, su prueba o refutación, y para la reconstrucción.
  • El objetivo del segundo es presentar la criminalística de campo y su método, siendo la escena del delito un lugar donde el informático forense tendrá que colaborar con otros especialistas y donde las pruebas físicas y las pruebas digitales podrán aparecer simultáneamente.
  • Finalmente, la investigación criminalística en los diferentes tipos de laboratorios de balística, documentoscopia, dactiloscopia, explosivos, etc.

Peritaje caligráfico: Disciplina de la criminalística cuyo objetivo es establecer la autenticidad de documentos escritos, mediante estudio de trazos de escritura o firmas, análisis de tinta, papel o impresiones de máquinas de escribir y, también, la identificación de la autoría de los grafismos. | Plural: Peritajes caligráficos

Conceptos de informática forense

5 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo es el estudio de los conceptos básicos de la informática forense y pericial, de los computadores, de los delitos y de las pruebas digitales. Algo muy importante, tanto del conocimiento de los conceptos fundamentales de informática forense y pericial como del empleo de las metodologías que se estudiarán en el siguiente módulo, es que son muy independientes de las tecnologías y resistentes al paso de tiempo por lo que son la base para enfrentarse a la continua renovación tecnológica en la que la sociedad está inmersa.

[Usuario; Figura enu]: Evolución del número de usuarios en las 5 generaciones de la tecnología de la información.

La actividad informática es una parte cada vez más habitual de la vida diaria de las empresas y de las personas:

  • Antes de la década de los 60 sólo organismos gubernamentales y de investigación y grandes multinacionales podían contar con sistemas informáticos.
  • En la década de los 60 y de los 70, los mainframes ya eran comunes en las grandes empresas y se estima que había 1 millón de usuarios en todo el mundo, en su mayoría técnicos.
  • Los minicomputadores aparecieron en la década de los 80, estaban al alcance de muchas más empresas y centros universitarios, dando paso a muchos nuevos usuarios que alcanzábamos los 10 millones.
  • En la década de los 90, los computadores personales, de la década anterior, llegaron masivamente a las pequeñas empresas y a los hogares, alcanzándose los 100 millones de usuarios.
  • En la 1ª década del tercer milenio, los computadores portátiles e internet permitieron alcanzar una cifra estimada de 1.400 millones de usuarios, una cifra que representa del orden de un 20% de la población mundial.
  • Durante esta 2ª década, gracias a los dispositivos móviles con acceso a internet, lo que se está denominando internet móvil las previsiones de [Morgan Stanley; 2009] son alcanzar los 5.000 millones de usuarios.

Combinando la evolución tecnológica con el crecimiento del volumen de usuarios, incluso en los escenarios de previsión más conservadores, el análisis de pruebas digitales será cada vez más habitual para encontrar explicaciones a incidentes en las empresas, en los litigios, frente a la propia Administración Pública obligada a ser electrónica y, por supuesto, a los delitos. Frente a ello, objetivo primordial de un informático forense o de un perito es determinar la naturaleza, sucesos y autores relacionados con un incidente o con delito:

  • conociendo los conceptos fundamentales de su profesión, que es el objetivo de este módulo, y
  • siguiendo siempre un procedimiento de investigación estructurado y metodológico, que es el objetivo del siguiente módulo.

ACM: Association for Computing Machinery, es la asociación americana de informáticos que participa en múltiples actividades relacionadas con la informática como la publicación de revistas, la definición de planes educativos, organización de grupos de trabajo en tareas específicas, etc. SIGSAC, Special Interest Group on Security, Audit and Control, es su grupo de trabajo en auditoría, control y seguridad informática. | Bibliografía: Salmerón, A.; et ál.; 1996 | Url: http://www.acm.org/sigs; http://www.sigsac.org

Investigación metodológica

14 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo es presentar una gama de posibles metodologías para la investigación en informática forense y pericial. Cada una de estas metodologías tiene sus ventajas e inconvenientes. Es sorprendente descubrir la gran cantidad de metodologías desarrolladas, unas centradas en la escena del delito, otras enfocadas en la formación, otras en el control del flujo de información, etc. En cualquier, caso el empleo por parte del perito o del informático forense de una metodología formalizada es la base para:

  • la realización de una investigación completa y rigurosa,
  • asegurando el correcto manejo de las pruebas digitales,
  • reduciendo la posibilidad de errores,
  • evitando la utilización de teorías preconcebidas y
  • ayudando a soportar la presión del tiempo.
[Metodología; Figura ms4]: Esquema metodológico creado mediante la síntesis de las fases fundamentales de las metodologías presentadas en este módulo.

A continuación se presenta un breve resumen de las metodologías seleccionadas para, posteriormente, dentro de este módulo, entrar en su estudio más detallado. Las metodologías ordenadas por su año de publicación son las siguientes:

  • [Casey, E; 2000]: Es una metodología básica y general, que puede aplicarse a computadores aislados y a entornos en red. Su utilidad se basa justo en su simplicidad, que la puede hacer eficiente frente a casos no muy complejos. Su defecto es que le falta una especificación las fases o momentos de autorización y de generación del informe final o dictamen pericial.
  • [Lee, H.C.; Palmbach, T.; Miller, M.T.; 2001]: Es realmente un enfoque metodológico clásico en investigación forense sobre pruebas físicas, pero que ya en su año de publicación contempla la aparición y la necesidad del análisis de las pruebas digitales. Esta metodología se estudiará fundamentalmente desde la perspectiva de la prueba digital y en su descripción se incluye una reflexión propia, no contemplada originalmente en [Lee, H.C.; Palmbach, T.; Miller, M.T.; 2001] de cómo algunos patrones de búsqueda de pruebas físicas tienen su aplicación en la localización de las pruebas digitales.
  • [Ashcroft, J.; 2001] y [Mukasey, M.B.; Sedgwick, J.L.; Hagy, D.W.; 2008]: Son dos ediciones de la metodología propuesta por el Departamento de Justicia de los Estados Unidos. Esta metodología se centra en las fases iniciales de actuación en la escena del delito, ya que está concebida como una guía para los informáticos forenses que dan una respuesta inmediata a delitos informáticos. Esta metodología proporciona criterios para la identificación de los diversos dispositivos digitales y para la selección de las pruebas digitales más adecuadas según las diferentes clases de delitos.
  • [Palmer, G.; 2001]: Los propios autores no la consideran como una metodología definitiva, ya que sus fases no se describen de forma completa sino a través de sus características y de posibles técnicas que podrían emplearse. Pero es importante conocerla pues ha sido la base para la elaboración de otras propuestas metodológicas. Es una metodología lineal pero que, en futuros desarrollos, podría contemplar ciclos como así lo hacen otras metodologías derivadas de ella.
  • [Palmer, G.; 2001]: Los propios autores no la consideran como una metodología definitiva, ya que sus fases no se describen de forma completa sino a través de sus características y de posibles técnicas que podrían emplearse. Pero es importante conocerla pues ha sido la base para la elaboración de otras propuestas metodológicas. Es una metodología lineal pero que, en futuros desarrollos, podría contemplar ciclos como así lo hacen otras metodologías derivadas de ella.
  • [Reith, M.; Carr, C.; Gunsch, G.; 2002]: Puede considerarse como una especificación de la anterior metodología de [Palmer, G.; 2001] donde ya se describen las fases, se añaden nuevas fases y se contemplan ciclos de realimentación. [Ciardhuáin, S.Ó.; 2004] la destaca por su alto nivel de abstracción y por ser aplicable a cualquier tipo de tecnología y clase de delito informático.
  • [Carrier, B.; Spafford, E.H.; 2003b]: Es una metodología muy detallada que se estructura en 5 fases con 17 tareas. Se diferencia de otras metodologías porque intenta integrar la investigación de las pruebas físicas con la de las pruebas digitales, supeditando, en cierta forma, estas últimas a las primeras. Si bien esta integración tiene sus ventajas puede añadir complejidad al proceso de investigación.
  • [Baryamureeba, V.; Tushabe, F.; 2004]: Es una metodología de 5 fases que contempla ciclos de realimentación entre todas ellas. Se basa en la anterior de [Carrier, B.; Spafford, E.H.; 2003b] y, por tanto, también integradora de la investigación de pruebas físicas junto con pruebas digitales, si bien, estas últimas tienen un menor grado de dependencia de las primeras.
  • [Ciardhuáin, S.Ó.; 2004]: Es una metodología de 13 fases, en forma de cascada, donde los flujos de información pasan de una actividad a la siguiente hasta el final del proceso. De esta forma, la cadena de custodia se forma por la lista de aquellos que han manipulado cada prueba digital y que debe pasar de un fase a la siguiente agregando los nombres de cada una de ellas. De todas las metodologías expuestas destaca porque es la que mejor establece los flujos de información y los puntos de control en el proceso de investigación.
  • [Casey, E.; 2004]: Es una evolución de su propia metodología [Casey, E; 2000]. Esta 2ª versión de su metodología posee 8 fases donde la fase de documentación corre paralela a las otras 7 fases de investigación. Estas 7 fases pueden representar un buen punto de equilibrio entre las metodologías muy cortas y otras con largo número de fases.
  • [Rifà, H.; Serra, J.; Rivas, J.L.; 2009]: Plantea una metodología en 3 fases, recogida de datos, análisis e investigación y redacción del informe. Si bien este enfoque puede parecer básico, hay que hacer notar que puede resultar adecuado para aquellos casos que no plantean una especial complejidad por su volumen y clase de pruebas digitales y personas y entidades implicadas, siendo estos una gran mayoría. Por ejemplo, la descripción que se realiza en [Vázquez López M.; 2012] de la metodología de la Brigada Investigación Tecnológica del Cuerpo Nacional de Policía española para sus pericias informáticas coincide, en buena medida, con esta metodología. Dentro de este módulo, metodología se estudiará con más detalle que las anteriores, dedicándole un tema. Esta una de las metodologías recomendables para la resolución del caso práctico final, especialmente si se trata de un caso sencillo.
  • [Casey, E.; 2011]: Es una 3ª versión de las metodologías de [Casey, E] ya descritas en apartados anteriores dedicados a [Casey, E; 2000] y a [Casey, E.; 2004]. Agrupa en menos fases las presentadas en [Casey, E.; 2004] convirtiendo en tareas algunas de las que en la anterior eran fases. Por su actualidad, esta metodología se ve con más detalle que las anteriores dedicándole un tema. Si el caso final que se plantea resolver tiene cierto nivel de complejidad esta podría ser una de las metodologías que podría seguir.

Ciberpunk: Subgénero de la ciencia ficción centrado en la alta tecnología, los cambios radicales del orden social y la vida mísera de sus personajes. Los argumentos de sus novelas suelen girar alrededor de hackers, crackers, sistemas de inteligencia artificial y poderosas corporaciones en un futuro relativamente cercano. Los escenarios mezclan lo post-industrial con lo tecnológico y su atmósfera es heredera del cine negro y los thrillers policiacos. El término ciberpunk se acuñó en los años 1980, como combinación de cibernética y punk y se le atribuye a Gibson, W.F.. | Inglés: Cyberpunk

Investigación en informática forense

6 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de toda investigación es descubrir y presentar la verdad y por ello el objetivo de este módulo es hacerlo a partir de pruebas digitales. Dependiendo de los casos este proceso de investigación en informática forense puede implicar unas consecuencias poco relevantes, en algunos tener importancia económica y en otros una gran trascendencia, especialmente cuando están en relación con la libertad, las sanciones e incluso las penas.

[Cracker; Figura mkd]: Kevin David Mitnick, Condor, el primer Kevin, usualmente ocupa el primer lugar de los rankings históricos de crackers.

Por ello además de emplear una metodología de confianza hay que emplear técnicas que garanticen que el análisis, la interpretación y la presentación de los informes con pruebas digitales son fiables, objetivos y transparentes y justo este es el objetivo de este módulo.

Para alcanzar su objetivo este módulo se estructura cubriendo 3 áreas fundamentales de la investigación en informática forense:

  • El trabajo en la escena del delito donde pueden existir tanto pruebas físicas tradicionales como pruebas digitales.
  • La reconstrucción con pruebas digitales, la reconstrucción del comportamiento humano es como la resolución de un puzle multidimensional donde puede haber piezas evidentes y otras perdidas, dañadas y, por supuesto, escondidas.
  • Los perfiles, las motivaciones y el modus operandi de las personas que, aunque exista una larga tradición de estudio en criminología, en el área de las tecnologías de la información mezcla características clásicas con otras muy particulares.
[Cracker; Figura pkl]: Kevin Lee Poulsen, Dark Dante, el segundo Kevin, usualmente ocupa el segundo lugar de los rankings históricos de crackers.

Hipertexto: Conjunto de ficheros de texto que el usuario puede consultar y recorrer utilizando hiperenlaces que son referencias cruzadas entre ellos. diferentes fichero y, a menudo, reciben el nombre de hiperenlaces y se visualizan de una forma realzada, por ejemplo como textos subrayados, en un color diferente al resto del texto. Estos ficheros pueden escribirse utilizando lenguajes como, por ejemplo, HTML. En la world wide web, cada uno de los ficheros de un hipertexto suele recibir el nombre de página web y un sitio web tiene tantas páginas web como ficheros. | Inglés: Hypertext | Plural: Hipertextos | Bibliografía: Salmerón, A.; et ál.; 1996

Ciberdelitos y ciberterrorismo

6 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo se centra en los delitos más violentos, en los ciberdelitos, incluso en el ciberterrorismo, con víctimas y daños personales y materiales, en los ataques a las Administraciones del Estado y a las empresas privadas y en los delitos de acoso y en los sexuales, siempre desde el punto de vista de la informática forense y pericial.

[Ciber; Figura kyv]: [Kaspersky, Y.V.], creador del antivirus que lleva su nombre, da su opinión sobre los riesgos del ciberterrorismo, 7 de junio de 212.

Los delitos, especialmente los violentos, pueden llegar a ser difíciles de investigar cuando los sucesos son complejos y existen muchas personas relacionadas. Pero estos delitos no suceden en un vacío desconocido e intangible, si no en un mundo en el que pueden quedar múltiples pruebas de ello, tanto físicas como digitales. Por ejemplo:

  • en algunos casos, la víctima puede conocer o haber tenido relación con el delincuente, puede existir una larga historia anterior de angustia, incluso marcada por violencia,
  • en otros, el delito puede ser rápido, irreflexivo y destructivo creando y destruyendo pruebas o
  • puede ser el resultado de un largo período de preparación y anticipación.

Cualesquiera que sean las circunstancias del delito, la información es clave para:

  • determinar y comprender de las relaciones existentes entre la víctima y su agresor o agresores,
  • plantear la estrategia de investigación y
  • para recoger, examinar y valorar las pruebas, en este curso, digitales.

Ciberespacio: Conjunto de información almacenada y disponible para su localización y consulta en una red de computadores, usualmente, internet. | Inglés: Cyberspace | Bibliografía: Salmerón, A.; et ál.; 1996

Conceptos fundamentales de informática

7 de marzo de 2015 Autor: Antonio Salmerón

 

El informático forense y el perito han de comprender lo que realmente está sucediendo dentro de los sistemas informáticos y no sólo han de limitarse a emplear software sofisticado para recuperar ficheros eliminados, realizar análisis avanzados del contenido de los discos duros, examinar la actividad en internet, etc. A veces, la falta de comprensión sobre cómo funcionan los computadores y la aplicación automática y no sopesada de herramientas sofisticadas pueden conducir a no observar pruebas digitales evidentes o a realizar de ellas interpretaciones erróneas.

Por ello, el objetivo de este módulo es proporcionar una visión de conjunto y desde el punto de vista de la informática forense y pericial sobre cómo funcionan los computadores y sobre como almacenan y procesan los datos.

[Sistema Operativo; Figura iso] Interacción el usuario, las aplicaciones, el sistema operativo y el hardware.

Dentro de este módulo se estudian los siguientes temas:

  • La arquitectura de los computadores y sus principios de funcionamiento incluyendo un elemento fundamental desde el punto de vista del perito y del informático forense como es el sistema operativo.
  • La representación de los datos en el computador y los diferentes sistemas de representación de datos.
  • El almacenamiento de los datos y, también, la ocultación de datos dentro del computador.
  • Los sistemas de gestión de ficheros y la ubicación y organización de los ficheros dentro de ellos.
  • Finalmente, las protecciones con usuarios y contraseñas y una primera aproximación al cifrado.

Análisis: 1) En informática forense, proceso de evaluación de los resultados del examen de las pruebas digitales para valorar su importancia, relevancia y su valor probatorio para el caso. 2) En informática en general, es la fase del ciclo de vida de un software en la que se definen y especifican sus requisitos: a) para su definición se realiza un estudio con sus futuros usuarios y se establecen los requisitos y b) para su especificación se describen de forma precisa y clara, tanto para los usuarios como para el equipo de desarrollo, para ello puede utilizarse un lenguaje de especificación formal o el lenguajes natural, existiendo metodologías específicas para el análisis de requisitos. | Inglés: Analysis | Bibliografía: Ashcroft, J.; Daniels, D.J.; Hart, S.V.; 2004; Salmerón, A.; et ál.; 1996:

Documentos y almacenamiento multimedia

7 de marzo de 2015 Autor: Antonio Salmerón

 
[Multimedia; Figura pkl]: Laboratorio de pruebas fotográficas y pruebas digitales multimedia de la policía de Kansas City.

Los documentos digitales, con formatos como PDF, Word, OpenOffice, ePUB, etc. y los de almacenamiento multimedia para

  • imágenes y fotografías, formatos PNG, JPEG, GIF, BMP, TIFF, etc.,
  • audio, formatos MP3, WAV, AIFF, etc. y
  • vídeo, formatos MP4, AVI, MOV, etc.

y tanto con su contenido digital como con todos los posibles metadatos que los describen como por ejemplo para imágenes y fotografías:

  • marca y modelo del dispositivo,
  • orientación y posición,
  • autor,
  • fechas y horas de toma, digitalización, de edición, etc.
  • resolución y unidades,
  • dimensión ancho y alto,
  • longitud, latitud, altura,
  • zoom,
  • flash, apertura, fuente de luz,
  • clase del mapa de colores,
  • tiempo de exposición,
  • etc.,

pueden representar una fuente de pruebas digitales para el informático forense y perito. El objetivo de este módulo es conocer estos formatos, sus metadatos y realizar experiencias prácticas con ellos.

[Multimedia; Figura vca]: Visualización de las gráficas de los 2 canales de un fichero de audio digital.

El volumen de información digital que se registra con formatos multimedia crece de forma acelerada, se dice que la cantidad de información registrada a nivel mundial se duplica cada 2 años y los formatos digitales multimedia contribuyen a ello. Baste pensar que tanto sucesos privados, como aún más los sucesos en público, aunque sean intrascendentes:

  • desde una caída aparatosa al coger el autobús
  • a una pelea de pre-adolescentes en una excursión del instituto,

pueden ser grabados inmediatamente por las cámaras de los móviles u otros dispositivos digitales que la mayor parte de la población lleva consigo.

Procesamiento de imágenes: Conjunto de técnicas para el análisis e interpretación de imágenes. El proceso de adquisición de una imagen se realiza a través de un escáner que explora secuencialmente un objeto captando a intervalos regulares la radiación que emite. El escáner detecta la radiación media de una zona equivalente al tamaño de un pixel. El valor medio de la radiación es transformado por el escáner, mediante un conversor analógico-digital. Los datos obtenidos mediante este proceso se representan como una matriz numérica. La fila y la columna de cada celda de la matriz representan las coordenadas espaciales y el valor de la celda la resolución espectral. Muchas de las técnicas de procesamiento de imágenes, filtrado, segmentación de la imagen, transformación a niveles de gris, modificación del contraste o de la resolución, análisis de la frecuencia espacial, suavizado de imágenes, umbralizado, etc. pueden explotar este tipo de representación matricial y utilizar operaciones algebraicas y estadísticas sobre matrices.. | Bibliografía: Salmerón, A.; et ál.; 1996

Sistema operativo Windows de Microsoft

7 de marzo de 2015 Autor: Antonio Salmerón

 
[Microsoft; Figura gbw]: [Gates; B.] fundador de Microsoft en 2005, entonces también Presidente y Chief Software Architect de la compañía.

Por la popularidad mundial de Microsoft Windows, los peritos e informáticos forenses se encontrarán con pruebas digitales en esta clase de sistemas en la mayoría de sus casos. Como consecuencia de su amplia difusión es el sistema operativo para el que más variedad de herramientas de informática forense se han desarrollado, tanto de las comerciales como de las de software libre. Por otro lado, es un sistema operativo que está al alcance de la mayoría de los interesados, por lo que es muy adecuado para la realización de prácticas. Por todo ello el objetivo de este módulo es familiarizarse y conocer:

  • Los tipos de sistemas de ficheros de los sistemas operativos de la clase Windows de Microsoft.
  • Las herramientas y las técnicas para la recogida y el examen de pruebas digitales en computadores con Windows.
  • La recuperación de datos.
  • Los ficheros de log y registros.
  • El análisis de la actividad en internet.
  • Finalmente el estudio, desde la perspectiva de la informática forense de algunas aplicaciones típicas de Windows, como sistemas de gestión de bases de datos, si bien es tal su variedad que es imposible intentar abarcarlas todas.

Compatible: Compatibilidad de un hardware o de un software. | Plural: Compatibles | Bibliografía: Salmerón, A.; et ál.; 1996

Sistemas operativos UNIX y Linux

7 de marzo de 2015 Autor: Antonio Salmerón

 

Durante los 30 últimos años se han desarrollado muchos sistemas operativos de tipo UNIX:

  • tanto sistemas comerciales, por ejemplo, Solaris de Sun Microsystems, HP-UX de Hewlett Packard, AIX de IBM e Irix de Silicon Graphics,
  • como sistemas de software libre, por ejemplo, OpenBSD, FreeBSD y, por supuesto, las múltiples versiones de Linux.

Actualmente, tanto UNIX como Linux están detrás de muchos lanzamientos tecnológicos y comerciales, por ejemplo:

  • los actuales sistemas Macintosh de Apple utilizan un sistema operativo basado en UNIX, el denominado Mac OS X, y
  • el sistema operativo móvil Android, desarrollado por Google, también está basado en Linux.
[UNIX Linux; Figura his]: Evolución histórica del sistema operativo Unix.

Adicionalmente:

  • muchos sitios Web, incluidos los financieros y los de comercio electrónico, se ejecutan sobre servidores con sistemas operativos UNIX o Linux y
  • muchas de las herramientas para el análisis y el examen de informática forense de dispositivos digitales, que originalmente estaban bajo el control otros sistemas operativos, se basan en Linux.

Por todo ello, el estudio, conocimiento y práctica de UNIX y Linux desde el punto de vista de la informática forense y pericial es fundamental y es el objetivo de este módulo, incluyendo su sistema de ficheros, las herramientas de informática forense, la recuperación de datos, los ficheros de log y de registro de la actividad tanto en el sistema operativo como en internet.

Servidor: Proceso o computador que proporciona servicios o recursos a otros procesos o dispositivos, por ejemplo, el servidor de la base de datos, servidor de impresión, el servidor web, etc. | Plural: Servidores | Bibliografía: Salmerón, A.; et ál.; 1996

Sistemas operativos de Apple

8 de marzo de 2015 Autor: Antonio Salmerón

 

Apple Inc. es una multinacional estadounidense con sede en Cupertino, California, que diseña y fabrica equipos digitales y software:

  • Entre sus productos más conocidos están: los Macintosh clásicos, cuyo lanzamiento inicial fue en 1984, la línea iMac, computadores que desde 1998 se caracterizan por integrar su CPU dentro de su monitor, los computadores MacBook, que son portátiles, diseñados para usuarios básicos, lanzados en 2006 para reemplazando al iBook y al PowerBook en la transición de Apple hacía la tecnología de Intel, los iPods que, desde 2001, son la línea de reproductores portátiles de audio digital, fundamentalmente para música, los iPhones, familia de teléfonos inteligentes, multimedia, con conexión a Internet y pantalla táctil y los iPads, que son dispositivos electrónicos de tipo tableta, su 1ª generación se anunció en 2010 y su 2ª generación en 2011, siendo la última presentación de Steve Jobs.
  • Entre su software destaca: los sistemas operativos Mac OS X y el iOS, iTunes, como explorador de contenido multimedia, iLife, para creatividad, Final Cut Studio, para la edición de vídeo, Logic Pro para edición de audio, iWork, para productividad, Safari, como navegador web, Mac App Store y App Store, iTunes Store que, probablemente, son las mayores tiendas de contenidos digitales del mundo con programas, música, vídeos, libros, etc. iCloud e iTunes Match, que a pesar de ser servicios en la nube, forman parte del software que ofrece y distribuye Apple, etc.

Apple fue fundada el 1 de abril de 1976 por Steve Jobs, Steve Wozniak y Ronald Wayne, este último abandonó pronto la compañía y en 1977 se les unió con capital y experiencia Armas Clifford, Mike, Markkula Jr. Desde un garaje, esta empresa evolucionó para ser, en 2012, la empresa más grande del mundo por capitalización bursátil.

[Apple, sji]: Steve Jobs, fundador de Apple, abrazando un iMac en 1998.

Dentro de la informática forense y para el examen de pruebas digitales, los sistemas de Apple reciben menos atención que otros sistemas operativos como Windows de Microsoft o UNIX y Linux, probablemente porque:

  • en muchos países son menos frecuentes como, por ejemplo, sucede particularmente en España,
  • se tiene la idea de que son más difíciles de encontrar en el mercado, a pesar de estar empezado a llegar a mucho más público y
  • también hay menos usuarios y profesionales familiarizados con ellos, si bien los que los conocen hablan con pasión de ellos.

Sin embargo, tanto el hardware de Apple como sus sistemas operativos no pueden ser ignorados por dos razones:

  • porque los delincuentes los utilizan y
  • porque su sencillo y cómodo interfaz gráfico si bien es ideal para el usuario, no facilita sin embargo su examen forense.

Por ello, si hay algo actualmente claro es que los informáticos forenses y los peritos tienen que dedicar más atención a los sistemas operativos de Apple, fundamentalmente porque se están vendiendo muchas unidades, y con una tendencia al alza, de sus nuevos modelos, tanto en forma de tabletas como portátiles y de escritorio.

[Apple, im1]: Apple iMAC 21,5 MC508E/A.

La aparición de nuevo sistema operativo de Mac basado en UNIX, el denominado OS X, ha atraído, además de los usuarios tradicionales, a nuevos usuarios más técnicos que valoran la potencia de UNIX y la comodidad del interfaz gráfico de usuario clásico del Mac.

Aunque el examen forense de los sistemas de Mac se puede realizar con las herramientas de informática forense habituales, es mucho más eficaz examinar estos sistemas usando un sistema de Mac configurado especialmente con instrumentos nativos de Mac.

Este módulo proporciona una breve introducción al examen forense los sistemas operativos de Mac:

  • siguiendo a [Casey, E.; 2011] y
  • se puede encontrar una cobertura más a fondo de este módulo en [Casey, E.; 2009; Capítulo 7] desarrollado por Anthony Kokocinski que también incluye una sección detallada sobre las aplicaciones más comunes de Mac como Safari, iCal, Mail, etc.

Como se verá, dentro de este módulo, a pesar de su apariencia amigable los sistemas Apple Mac con muy complejos y poderosos y la recuperación manual de ficheros borrados es difícil debido a la intrincada estructura del fichero Catálogo.

Se pueden utilizar herramientas existentes para realizar exámenes básicos de pruebas digitales, incluyendo el visionado de la estructura de ficheros y la recuperación de datos borrados. Por ello, actualmente, hay necesidad de más herramientas de examen de las pruebas digitales y de más investigación acerca de los sistemas Mac. Como en otros sistemas, las aplicaciones para Internet pueden mantener registros de actividades y con la aparición de Mac OS X, MobikeMe y más aun con iCloud, que permite el almacenamiento en la nube, estos sistemas contienen cada vez más datos relacionados por la red.

Fichero: Conjunto de datos relacionados entre sí, considerados como una unidad, al que se da un nombre simbólico que se usa para identificarlo y manipularlo. El nombre y la estructura del fichero los establece su creador. Ejemplos de ficheros son el de clientes de una empresa, una hoja de cálculo Excel, el que contiene código fuente o un programa ejecutable. Muchos de los ficheros, por ejemplo, de los utilizados en la gestión de empresas, se organizan como una serie de registros o líneas, de longitud fija o variable, donde los registros se componen de una serie de campos, de longitud fija o variable, y los campos pueden contener valores de tipo numérico, alfanumérico, fecha, etc. Esta organización es equivalente a la de una tabla con filas, los registros o líneas, con varias celdas, los campos, en cada fila. Otros ficheros pueden atender a estructuras muy diferentes, por ejemplo, los ficheros que contienen imágenes en formatos BMP, JPEG, GIF, PNG, etc. o tener un formato totalmente libre, como son los ficheros de texto que contienen código fuente de programas. | Inglés: File | Plural: Ficheros | Alias: Archivo | Bibliografía: Salmerón, A.; et ál.; 1996

Pruebas digitales en dispositivos móviles

14 de marzo de 2015 Autor: Antonio Salmerón

 

Los dispositivos móviles como teléfonos móviles y teléfonos inteligentes, smart phones, se han convertido en parte integrante de la vida cotidiana de las personas:

  • Por ello, también son actualmente una herramienta habitual en cualquier delito o, simplemente, estar involucrados en la comisión de delitos por el mero hecho de estar presentes en el escenario.
  • Por otro lado, casi es imposible pensar en un dispositivo tan personal como el móvil, mucho más que el propio computador personal. Mientras que los computadores, portátiles, servidores o máquinas de juego pueden tener varios usuarios, en la gran mayoría de los casos los dispositivos móviles pertenecen a un único individuo.
  • Finalmente, el número de dispositivos móviles para la comunicación y la organización personal, muchos de ellos con acceso a Internet, alcanza cifras tan elevadas como que en la Unión Europea de los 27, en 2010, el número total de líneas de telefonía móvil contratadas superaba los 642 millones, lo que supone una penetración del 128% sobre la población, es decir, muchos habitantes tienen más de una línea y más de un dispositivo móvil.

Estas 3 observaciones hacen que sean una fuente usual de pruebas digitales y es el objetivo de este módulo su estudio desde el punto de vista de la informática forense y pericial ya que, aunque de pequeño tamaño, los móviles suelen contener importante información personal como:

  • el historial de llamadas,
  • mensajes de texto,
  • correos electrónicos,
  • fotografías digitales,
  • videos,
  • entradas de calendario,
  • notas,
  • agenda con nombres, teléfonos, empresas y direcciones de contacto,
  • contraseñas o
  • números de tarjetas de crédito.

Pueden contener todo lo anterior porque estos aparatos:

  • además de utilizarse como terminal de telefonía,
  • también se emplean para intercambiar fotografías, acceder a internet, conectarse a redes sociales, mantener blogs personales, tomar notas, grabar y consumir video y audio, etc.

El avance de la tecnología y el aumento del caudal de transmisión de datos están permitiendo el intercambio de elementos cada vez más grandes, como por ejemplo vídeo digital a la vez que, por su gran capacidad de computación, ofrecen una funcionalidad cada vez más próxima a la que prestaban en la década anterior los computadores portátiles.

Por su portabilidad los móviles se llevan a todas partes y pueden servir para determinar la ubicación de las personas a lo largo del tiempo:

  • Con información interna del móvil, por ejemplo, como los metadatos de fecha, hora, latitud, longitud y altitud que pudieran contener las fotografías realizadas con el móvil, con los pequeños error de su GPS.
  • Con información externa al móvil, por ejemplo, mediante la secuencia de antenas móviles a las que se ha ido conectando, si bien, con una mayor imprecisión, pudiendo establecerse zonas más que posiciones concretas.
[Móvil; Figura mpa]: Posicionamiento de un móvil de Movistar a las 10:47, en un radio de 1.244 metros alrededor de una antena, en un mapa de Microsoft Bing.

Por tanto, el desarrollo vertiginoso de la computación móvil y de las tecnologías de las comunicaciones abre oportunidades a la delincuencia pero también a la investigación en informática forense.

La información contenida en los dispositivos móviles o la relacionada con ellos puede ayudar al informático forense o al perito a responder preguntas cruciales revelando con quién se ha comunicado un individuo, sobre qué han estado comunicando y dónde han estado. Por ejemplo:

  • Los agresores sexuales pueden usar un dispositivo móvil para iniciar sus contactos con las víctimas, intercambiar fotos o vídeos y preparar a las víctimas creando una cibertrayectoria que puede ser seguida por el informático forense.
  • Los usan los terroristas en tareas de reconocimiento y coordinación o para la activación de explosivos.
  • Los utilizan en los contrabandistas para fijar o avisar de entregas.
  • Los miembros de los clanes de la delincuencia organizada para coordinar actividades y compartir información incluso estando en prisión, lo que puede ayudar a los investigadores a entender el funcionamiento de estos grupos.

Por ello los dispositivos móviles están sirviendo para resolver delitos y la información contenida en ellos puede utilizarse también en crímenes graves cuando los implicados no se dan cuenta de que portan un dispositivo móvil o no piensan en el mismo como fuente de información digital incriminante.

[Móvil; Figura mbr]: 2 móviles en una bolsa para pruebas del Reino Unido.

La creciente potencia computacional de los dispositivos móviles está permitiendo usos antes impensables y, con ello, se ha elevado su capacidad para usos indeseables. Por ejemplo, algunos dispositivos móviles están optimizados para la adquisición de datos en tareas como el escaneo de tarjetas de crédito o la toma de mediciones técnicas, por ejemplo, voltaje, temperatura, aceleración. Esta funcionalidad tiene ramificaciones más allá de las intenciones de los fabricantes como emplearse para robar tarjetas de crédito e iniciar la explosión de bombas [Wilson, C.; 2006].

El objetivo de este módulo, siguiendo a [Casey, E.; 2011], es estudiar cómo los dispositivos móviles pueden ser fuente de pruebas digitales, describir la operación básica de estos dispositivos y presentar herramientas y técnicas para recoger y examinar las pruebas extraídas. En particular, los móviles son sólo una clase de sistemas informáticos embebidos y existen enfoques avanzados para extraer información de ellos, como el acceso JTAG y la extracción de datos de sus circuitos integrados, chip-off. Se puede encontrar un tratamiento más detallado de los sistemas embebidos en [Casey, E.; 2009; Capítulo 8] desarrollado por Ronald van der Knijff y en el sitio web de los [cmdLabs].

Teléfono móvil: Dispositivo digital e inalámbrico para acceder y utilizar los servicios de la red de telefonía móvil. También se le denomina teléfono celular porque el servicio de telefonía móvil funciona mediante una red de celdas, donde cada antena repetidora de señal es una célula, si bien existen también redes de telefonía móvil mediante satélites. El nombre móvil proviene de su característica principal que es su portabilidad, lo que permite comunicarse desde casi cualquier lugar. Su función básica es la misma que la de los teléfonos convencionales, esto es, la comunicación de voz. Adicionalmente cada vez aportan más funcionalidades, como por ejemplo, enviar cortos mensajes de texto, SMS, hacer fotos mediante una cámara digital, grabar vídeos, disponer de una agenda electrónica, funciones de reloj, cronómetro y alarma, calculadora, localización geográfica, GPS, navegación por internet, acceso al correo electrónico, reproducción de ficheros multimedia, etc. A los tipos de teléfonos móviles más evolucionados y con más funciones se les denomina Smartphones, teléfonos inteligentes. | Inglés: Mobile phone, Smartphone | Plural: Teléfonos móviles | Alias: Móvil

Informática forense en redes e internet

14 de marzo de 2015 Autor: Antonio Salmerón

 
[Redes; Figura dds]: Estructura de un ataque distribuido de denegación de servicio, DDOS, con la herramienta Stachledraht.

El objetivo de este módulo es el estudio y la práctica de la informática forense tanto en redes de computadores como en internet. Comprende los conceptos básicos de redes desde el punto de vista de la informática forense, la aplicación de esta a las pruebas digitales en redes, en internet y en las diferentes capas o niveles de los sistemas de comunicación y, en especial, en el físico, el de enlace de datos, el de red y el de transporte.

La estructura de este módulo es la siguiente:

  • Desarrollo de las redes informáticas.
  • Tecnologías de las redes.
  • Protocolos de Internet y modelo de referencia OSI.
  • Aplicación de la informática forense a las redes.

Topología de red: Forma de interconexión de los nodos de la red. Existen tres topologías genéricas: En estrella, en anillo y de difusión o bus. La topología en estrella define un nodo central al que se conectan todos los demás y no hay conexión entre los nodos periféricos. La topología en anillo es cíclica y consiste en que cada nodo está conectado a sus dos vecinos; es, por tanto, una topología cerrada. Un ejemplo de esta topología es la red llamada token ring. La topología de difusión o bus tiene todos los nodos conectados a un bus común, con lo cual necesita algún tipo de arbitraje para determinar qué nodos pueden utilizar el bus en cada momento. Ethernet es un ejemplo de esta topología. | Plural: Topologías de red | Bibliografía: Salmerón, A.; et ál.; 1996

Esteganografía, criptografía y técnicas antiforense

8 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo es estudiar las diferentes disciplinas y técnicas que pueden plantear problemas durante la investigación en informática forense y pericial, como son la esteganografía, para la ocultación de la información, la criptografía, como proceso de codificación o de cifrado para mantener en secreto datos e informaciones y otras técnicas denominadas antiforenses, por ejemplo, para la limpieza u ofuscación de la información:

  • La esteganografía estudia y aplica técnicas para la ocultación de información, mensajes u objetos, dentro de otros, llamados portadores, de modo que no sea fácil percibir su existencia.
  • La criptografía tiene por objetivo mantener en secreto datos, informaciones, mensajes, etc. durante su almacenamiento o su transmisión y para ello se utilizan 2 técnicas:
    • La codificación que es la sustitución directa de cada elemento del texto en lenguaje origen por un elemento de texto codificado. La correspondencia entre los elementos de texto en el lenguaje origen y los elementos de texto codificado quedan definidos por una tabla conocida como clave del código.
    • El cifrado que es la transformación de texto en un lenguaje origen a un texto cifrado mediante un algoritmo que, en cada proceso de cifrado, se particulariza mediante una clave o un conjunto de claves. El cifrado es más robusto que la codificación, que es sólo una sustitución directa.

No ha de confundirse esteganografía y criptografía, si bien, ambas intentan proteger la información, son distintas:

  • mientras que la esteganografía oculta la información de modo que no sea advertido el hecho de su existencia o envío,
  • la criptografía cifra la información para que no sea comprensible a los ajenos a las claves, incluso aunque conozcan la existencia de esa información.

Otra forma de expresar sus diferencias es que, se podría decir que:

  • la 1ª línea de defensa de la información es el desconocimiento de su existencia y para ello está la estenografía y
  • la 2ª línea, frente al conocimiento o descubrimiento de la información, sería su encriptación.

Por tanto, ambas técnicas son complementarias, proporcionando mayor seguridad, por ejemplo, que el mensaje a esteganografiar se cifre de forma previa.

[Esteganografía; Figura asc]: Imagen portadora [Trithemius, J.; 1621] a la izquierda, la función de filtro en el centro y la imagen con el mensaje en rosa a la derecha.

Otras técnicas y herramientas antiforenses pueden tener por objetivo dificultar el análisis en un escenario digital, por ejemplo, mediante:

  • la eliminación de la información,
  • la ofuscación de la información haciendo compleja su localización,
  • la generación de incertidumbre durante la investigación,
  • etc.

Es necesario hacer notar que, la aplicación en un computador por sus usuarios o administrador de esteganografía, criptografía e incluso de técnicas antiforense no implica necesariamente el empleo de ese equipo en algo ilegal o delictivo, pues pueden haber sido utilizadas como una medida adicional de protección de información, lo que es especialmente cierto en el caso de la criptografía que incluso puede haber normas legales que obliguen a su aplicación.

Escenario forense: Es la escena del delito o del crimen, es el lugar donde el acto ilegal se ha llevado a cabo, comprende el área donde se puede obtener la mayor parte de la prueba física. Esta obtención ha de realizarse por personal capacitado, bajo las condiciones legales aplicables y siguiendo un proceso metodológico y documentado. Este término junto con escena o escenario del crimen suelen emplearse en textos de procedencia anglosajona. | Inglés: Crime scene | Alias: Escena del crimen, Escenario del crimen

Caso de investigación completo

14 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo es la realización de un caso práctico completo de investigación en informática forense y pericial. Se dispondrá de libertad y amplio margen de actuación para seleccionar el caso de su interés, la metodología que crea más apropiada y así demostrar sus conocimientos y su profesionalidad.

[Disco duro; Figura hdc]: Clonadora de discos duros denominada HiSpeed HDD Cloning modelo WLX-876.

Dentro de este módulo se describe los aspectos fundamentales para la selección, realización y presentación del caso práctico con su informe final:

  • Selección del enfoque metodológico que se crea conveniente. Esta selección puede hacerse dentro de las metodologías estudiadas, pudiendo ser también una metodología de trabajo propia o de otras fuentes, siempre que su adecuación esté justificada.
  • Selección del caso práctico, circunstancias que han de tenerse en cuenta en esta selección.
  • Realización del informe pericial del caso resuelto y presentación mediante su envío por correo electrónico en formato PDF.
  • Confidencialidad de todos los datos personales y de otros datos sensibles y consideraciones sobre la posible difusión del informe final.
  • Estructura de la propuesta de caso práctico: título del caso, breve descripción, objetivos de la investigación, propuesta razonada de la metodología que se va a seguir, advertencias sobre los posibles problemas de confidencialidad de los datos, etc.
[Anexos; Figura eap]: Momento y forma de propuesta o petición de un caso final por parte del alumno.

Formato: 1) Forma de disponer los datos en las operaciones de entrada/salida, por ejemplo, si se escribe un número en coma flotante puede especificarse cuánto espacio va a ocupar y cuántos decimales van a escribirse. 2) De grabación, estructura especifica de la forma en que se escribe la información en un dispositivo de almacenamiento masivo, por ejemplo, un disco, así como la información adicional de direccionamiento que hay que añadir para identificar la información útil. 3) En general, estructura específica sobre cómo se guarda la información en cualquier hardware o software, por ejemplo, dentro de un fichero. | Inglés: Format | Plural: Formatos | Bibliografía: Salmerón, A.; et ál.; 1996

Base documental para informática forense y pericial

3 de marzo de 2015 Autor: Antonio Salmerón

 

El objetivo de este módulo es proporcionar una base documental formada por el material de referencia básico para el estudio de la Informática Forense y Pericial.

Este material incluye la descripción de la organización de los programas de formación en áreas de conocimiento con sus módulos y sus temas, las diferentes clases de documentación incluidas, la bibliografía, legislación, autores, entidades, herramientas, ilustraciones, tablas y glosario.

El estudio de este módulo corre en paralelo al resto de los módulos.

[Prueba digital; Figura dvd]: Pruebas digitales frente a pruebas físicas.

A continuación se enumera en más detalle el contenido de esta base documental:

  • La motivación y estructuración en áreas de conocimiento de los diferentes módulos de las áreas de conocimiento, la explicación sobre cómo se organizan internamente los documentos de cada módulo, las normas de escritura que se siguen y cómo se han de entender las diferentes claves para: la bibliografía y la legislación, los autores, las entidades, y las herramientas, las figuras y tablas, los términos del glosario, etc.
  • Toda la bibliografía estructurada según su tipología: la específica de informática forense y pericial, subdividida alfabéticamente para su mejor localización, y la bibliografía complementaria sobre legislación y sentencias, temas de derecho, la ciencia forense, temas generales, incluyendo temas de informática básica y de divulgación como, por ejemplo, publicaciones en los medios.
  • Referencias a los principales autores citados, a las entidades y las herramientas y, también, el índice de figuras y tablas incluidas en la documentación de los diferentes módulos de cada área de conocimiento.
  • Finalmente, también se incluye un glosario con varios centenares de términos sobre informática forense y pericial e informática en general. El objetivo de esto último es ayudar a aquellas personas con un menor conocimiento de informática. El glosario se subdivide alfabéticamente e incluye muchos términos en inglés para facilitar la lectura de los artículos y publicaciones en este idioma, que son las más comunes. En general se han primado los términos en español, salvo en aquellos casos en los que los términos en inglés están ampliamente difundidos y aceptados frente a sus posibles equivalentes en español como, por ejemplo, es el caso de hardware, software o World wide web.
[Kleiman, D.; et ál.; 2007; Figura 7]: Roles del computador en el delito informático desde el punto de vista del perito o del informático forense.

Herramienta: Conjunto de programas de utilidad para programadores y usuarios. En informática forense son clásicas las herramientas que permiten recuperar información de un fichero borrado, duplicar discos, realizar volcados o editar ficheros binarios o ejecutables, buscar en discos sectores en mal estado, etc. | Inglés: Tool | Plural: Herramientas | Bibliografía: Salmerón, A.; et ál.; 1996