unidad nacional de delitos...

Unidad Nacional de Delitos InformáticosUnidad Nacional de Delitos Informáticos

John Jairo Echeverry Aristizabal - Colombia

Ing. John Jairo Echeverry AristizabalIng. John Jairo Echeverry Aristizabal

LLLLLLLLos avances Tecnológicos demuestra la

evolución del hombre, esto se evidencia a través delos medios que permiten el almacenamiento, latransmisión y la administración de lainformación; avances que han modificado el vivirdiario de las personas y organizaciones reflejadoesto, en el aumento de transacciones comerciales(cajeros automáticos, banca virtual), comercio(cajeros automáticos, banca virtual), comercioelectrónico, comunicaciones en línea, sistemas deinformación, etc., actividades que han permitidomejorar ostensiblemente procesos al interior de lasorganizaciones; pero así mismo, se han generadouna serie de comportamientos ilícitosaprovechando el conocimiento de ésta y esto sepuede ver reflejado en el aumento significativo defraudes financieros, injurias, calumnias,violación de datos personales, y muchos masmediante el uso de las Tics

1. Variación de la escena del delito (escenasvirtuales).

2. Clandestinidad.3. Efectividad4. Tiempos Cortos en la ejecución.5. Ganancias.6. Falta de testigos.7. No rastro.7. No rastro.8. La Seguridad del delincuente.9. Lo complejo de los hallazgos digitales.10. Ingenuidad de las personas.11. Falta de seguridad de los equipos y en las

plataformas tecnológicas.12. Falta de controles.13. Puertas traseras o errores en las

aplicaciones.14. Desconocimiento de los Investigadores.

1. Internet.2. Sistemas de Información.3. Medios de Almacenamiento.4. Dispositivos móviles.5. Bases de Datos.6. Programas o aplicaciones.7. Redes Sociales.7. Redes Sociales.8. Correos Electrónicos.9. E-commerce10. E-business11. E-goverment12. E-drugs13. TIC

SE BUSCANSE BUSCANSE BUSCANSE BUSCAN

KahlidKahlidKahlidKahlidMohammadMohammadMohammadMohammad

RamziRamziRamziRamziBinalshibhBinalshibhBinalshibhBinalshibh

Abu MusabAbu MusabAbu MusabAbu MusabAlAlAlAl----ZarqawiZarqawiZarqawiZarqawi

SE BUSCANSE BUSCANSE BUSCANSE BUSCAN

Raul ReyesRaul ReyesRaul ReyesRaul Reyes Ivan RiosIvan RiosIvan RiosIvan Rios Rodrigo TovarRodrigo TovarRodrigo TovarRodrigo Tovar Victor SuarezVictor SuarezVictor SuarezVictor Suarez

LAS EVIDENCIAS DIGITALES vs. EVIDENCIAS LAS EVIDENCIAS DIGITALES vs. EVIDENCIAS TRADICIONALESTRADICIONALES

¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!¡EVIDENCIAS DIGITALES!

La evidencia digital es única, cuando se le compara con otras formas de“evidencia documental”. A comparación de la documentación en papel, laevidencia computacional es frágil y una copia de un documentoalmacenado en un archivo es idéntica al original. Otro aspecto único dela evidencia computacional es el potencial de realizar copias noautorizadas de archivos, sin dejar rastro de que se realizo una copia. Estaautorizadas de archivos, sin dejar rastro de que se realizo una copia. Estasituación genera problemas con respecto al robo de información comercial“secretos Industriales”.

Se debe tener en cuenta que los datos digitales adquiridos de copias no sedeben alterar de los originales del disco, porque automáticamente seinvalidaría la evidencia. Es por esta razón que los investigadores debenrevisar constantemente sus copias, y que sean exactamente igual a laoriginal. CHECKSUM ó HASH

1. Orden de Volatilidad.2. Cosas que se deben evitar.3. Consideraciones relativas a la privacidad de los datos.4. Consideraciones Legales.5. Procedimiento de recolección.5. Procedimiento de recolección.6. Transparencia.7. Pasos de Recolección.8. Cadena de Custodia.9. Como Almacenar las evidencias .10. Herramientas necesarias y medios de almacenamiento de

estas.

Consideraciones LegalesConsideraciones LegalesConsideraciones LegalesConsideraciones Legales

• Cuando se está actuando, se deben seguir políticas y directivas.

• Esto asegura:• Esto asegura:– Identificación apropiada de un incidente– Incautación apropiada de evidencia– Documentación detallada– Conservación de evidencia.– Responsabilidad por la evidencia.

Como Identificar un IncidenteComo Identificar un IncidenteComo Identificar un IncidenteComo Identificar un Incidente

• En la mayoría de los casos, un incidente será detectado por un Sistema de Detección de Intrusión (IDS) o el Intrusión (IDS) o el administrador del sistema.– Un IDS monitorea la

información de la red y alerta que un incidente ha ocurrido

– El Administrador del Sistema nota actividad irregular en la red

Como Identificar un IncidenteComo Identificar un IncidenteComo Identificar un IncidenteComo Identificar un Incidente

• El Administrador delSistema puede asumir queun incidente ocurriódándose cuenta de:un incidente ocurriódándose cuenta de:– Usuarios no autorizados

agregados al sistema– Archivos agregados o

eliminados del sistema– Programas no autorizados

corriendo en el sistema– Actividad inusual

ocurriendo en el sistema

Como Prepararse para ResponderComo Prepararse para ResponderComo Prepararse para ResponderComo Prepararse para Responder

• Consideraciones para la Respuesta – Para garantizar la respuesta apropiada, haga preguntas detalladas

durante la entrevista telefónica con la víctima:•• quién• qué• dónde• cuando • cómo• Magnitud del ataque (si está involucrada red)

– Consulte con su departamento legal:

Como Prepararse para ResponderComo Prepararse para ResponderComo Prepararse para ResponderComo Prepararse para Responder

• Una vez se ha confirmado un incidente, usted debe estar preparado para tomar las siguientes acciones:

– Responder

• Documente eventos en la escena• Documente eventos en la escena

• Recoja registros de red y video de dispositivos testigos

• Recoja datos volátiles del sistema de la víctima / sospechoso

• Obtener una imagen del

sistema de la víctima / sospechoso

Juego de Herramientas del InvestigadorJuego de Herramientas del InvestigadorJuego de Herramientas del InvestigadorJuego de Herramientas del Investigador• Juego de Herramientas para Recolección de Evidencia en la Escena del

Crimen– Cámara (y video si está disponible)– Formularios para Recolección de Evidencia en la Escena del Crimen– Libretas de Apuntes, Etiquetas, bolígrafos, Marcadores Permanentes– Libretas de Apuntes, Etiquetas, bolígrafos, Marcadores Permanentes– Contenedores para Almacenamiento de Evidencia

• Juego de Herramientas Digital para Recolección de Evidencia – Juego de Herramientas Forense– Software Forense– Hardware Forense – Medios para Almacenamiento

Juego de Herramientas para Recolección de Juego de Herramientas para Recolección de Juego de Herramientas para Recolección de Juego de Herramientas para Recolección de Evidencia DigitalEvidencia DigitalEvidencia DigitalEvidencia Digital

• Capacidades– Recoger datos volátiles– Recoger imágenes de disco forense

• Requerimientos• Requerimientos– Computadora– Dispositivos Bloqueadores de Escritura– Medios Destino– Software para Respuesta a Incidentes

• Herramientas para Respuesta a Incidentes• Programa de Imagen Forense

Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Incidentes Paso #1 Incidentes Paso #1 Incidentes Paso #1 Incidentes Paso #1

• Borrado Seguro de Discos • Borrado Seguro de Discos (wipe)– Borra y sobrescribe en todos

los datos en el disco

– Asegura la integridad de la evidencia recogida

Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Incidentes Paso #2Incidentes Paso #2Incidentes Paso #2Incidentes Paso #2

• CD de Herramientas Forenses Forenses – Programa Roxio CD

Creator

– Quema (copia) las herramientas al CD

Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Como Preparar el Software para Respuesta a Incidentes Paso #3Incidentes Paso #3Incidentes Paso #3Incidentes Paso #3

• Hashing – MD5 Summer – MD5 Summer

– Asegura la integridad de las herramientas forenses

¿¿¿¿¿¿¿¿Qué es una Imagen Forense?Qué es una Imagen Forense?Qué es una Imagen Forense?Qué es una Imagen Forense?

• Una imagen forense hace referencia a una copia sin alterar del disco duro de la víctima. Esto asegura:– Integridad de la evidencia– Integridad de la evidencia– Daños no intencionados a los datos originales

• Hay dos tipos de imágenes forenses– Lógica: una copia de todos los archivos y directorios de la

computadora– Físicos: una copia bit-por-bit del disco duro

¿¿¿¿¿¿¿¿Para qué Hacer una Imagen Forense?Para qué Hacer una Imagen Forense?Para qué Hacer una Imagen Forense?Para qué Hacer una Imagen Forense?

• Mantiene la integridad de la evidencia • Suministra acceso a datos adicionales (no volátiles)

– Archivos de Registro– Archivos Temporales– Aplicaciones Comprometidas– Archivos de Página y para Compartir

• Si usted no está incautando el dispositivo de almacenamiento original, haga imágenes múltiples

¿¿¿¿¿¿¿¿Para qué usar un Para qué usar un Para qué usar un Para qué usar un perito forense perito forense perito forense perito forense entrenado?entrenado?entrenado?entrenado?• Una persona sin entrenamiento

podría:

– Pasar por alto, no encontrar o no recuperar datos no recuperar datos eliminados

– No encontrar o no recuperar datos protegidos por contraseña

– No encontrar o no recuperar datos ocultos

– Causar la pérdida o la corrupción de datos

¿¿¿¿¿¿¿¿Para qué usar un investigador forense Para qué usar un investigador forense Para qué usar un investigador forense Para qué usar un investigador forense entrenadoentrenadoentrenadoentrenado????

– Hacer que la computadora fallefalle

– Hacer que los datos sean inadmisibles en una corte o CREAR MALOS PRECEDENTES LEGALES!

– Dar pie para una demanda válida


37



Manteniendo la Integridad de la Evidencia Manteniendo la Integridad de la Evidencia Manteniendo la Integridad de la Evidencia Manteniendo la Integridad de la Evidencia ElectrónicaElectrónicaElectrónicaElectrónica

• La evidencia informática es frágil. Los investigadores deben mantener la integridad de la evidencia con:integridad de la evidencia con:– Documentación apropiada – Identificación apropiada – Empaquetamiento apropiado– Cadena de custodia

Como Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónicoComo Documentar la escena del crimen electrónico

• Para garantizar una detallada documentación, use formularios cuando sea apropiado: sea apropiado:

– Objetos incautados

• Descripción

• Quien lo incautó y dónde lo encontró

– Cadena de custodia

– Reporte después de la acción.


• Una vez usted haya entrado y asegurado la escena de un crimen electrónico, debe documentar los electrónico, debe documentar los alrededores como los encontró originalmente:

– Tome Fotografías

– Dibuje


• Tome fotografías de la escena del • Tome fotografías de la escena del crimen:

– Total

– Detallada (evidencia)


• Tome fotografías a cada uno de los 0bjetos antes de incautarlo0bjetos antes de incautarlo

• Evite usar flash fotográfico en tomas cercanas

• Tome una fotografía de lo que está en la pantalla


• Dibuje – Distribución

• Ubicación del sospechoso• Ubicación del sospechoso• Identificación de la

habitación– Localización de la evidencia– Distancia entre un objeto y

otro– Presentación para la corte

Como Incautar Evidencia ElectrónicaComo Incautar Evidencia ElectrónicaComo Incautar Evidencia ElectrónicaComo Incautar Evidencia Electrónica

• Si el computador está prendido:• Si el computador está prendido:

– Retire al sospechoso inmediatamente!!

– Documente el estado actual y recolecte la información volátil.

• Si el computador está apagado no lo prenda.


• Si el monitor está prendido y:

– La pantalla está en blanco, o

– En modo de reposo o – En modo de reposo o

– Es visible un protector de pantalla:

• Mueva el ratón sin oprimir botones

• Tome una fotografía de la información desplegada.


• Apagado:

Tire de la toma del Tire de la toma del computador - no del enchufe de la pared

Como Documentar la Escena del Como Documentar la Escena del Como Documentar la Escena del Como Documentar la Escena del Crimen ElectrónicoCrimen ElectrónicoCrimen ElectrónicoCrimen Electrónico

• Retire la carcasa y documente:

– Componentes (memoria, tarjetas, etc.)

– Discos Duros:– Discos Duros:

• Modelo del dispositivo y números seriales (si están disponibles)

• Tamaño

• Equipo Master o Esclavo


50



Como Empacar y transportar evidencia electrónicaComo Empacar y transportar evidencia electrónicaComo Empacar y transportar evidencia electrónicaComo Empacar y transportar evidencia electrónica

• Los sistemas de computo son sensibles a la temperatura, humedad, golpes físicos, electricidad estática y fuentes magnéticas.humedad, golpes físicos, electricidad estática y fuentes magnéticas.– Asegúrese que toda la evidencia

ha sido debidamente documentada y etiquetada

– Empaque todo los medios magnéticos en bolsas antiestática.

Como Transportar el Computador IncautadoComo Transportar el Computador IncautadoComo Transportar el Computador IncautadoComo Transportar el Computador Incautado

• Utilice papel de burbujas (bubble wrap)Utilice papel de burbujas (bubble wrap)

• No utilice Icopor

• Ponga el computador en el carro en el lugar en donde el viaje es más suave. Si es posible, ponga el computador en el piso del asiento de atrás.

Como Transportar evidencia electrónicaComo Transportar evidencia electrónicaComo Transportar evidencia electrónicaComo Transportar evidencia electrónica

• ¡No ponga el computador en el baúl! La señal del transmisor de radio de la policía puede

53

de radio de la policía puede dañar el disco duro y destruir la evidencia. Si es posible, evite transmisiones por radio mientras transporta el computador.

Almacenando Evidencia ElectrónicaAlmacenando Evidencia ElectrónicaAlmacenando Evidencia ElectrónicaAlmacenando Evidencia Electrónica

• Almacene la computadora en un área seguro, como lo haría con cualquier tipo de evidencia

• Debe ser:

55

Debe ser:– Fresco– Seco– Lejos de:

• Generadores• Imanes

unidad nacional de delitos...

Documents