análisis forense en sistemas de información
TRANSCRIPT
ANÁLISIS FORENSE EN SISTEMAS DE INFORMACIÓN: La importancia del informe pericial para su uso ante un tribunal de justicia
Pedro R. Palos Sánchez – Master Derecho y NNTT. Universidad Pablo de Olavide
Conceptos Básicos
Definición y Objetivos de la Informática Forense La informática forense es la cienciaforense que se encarga
de asegurar,identificar, preservar, analizar y presentar la evidencia digital, de manera que ésta sea aceptada en un proceso judicial.
Investiga los sistemas de información con el fin de detectar evidencias de vulnerabilidad en los mismos.
2
Objetivos
• Objetivos preventivos. Pretende anticiparse al problema. En este escenario, la informática forense forma parte del sistema de seguridad. Se utiliza para verificar y para auditar. Mediante la práctica de distintas técnicas, se verifica que los sistemas de seguridad instalados cumplen con ciertas condiciones básicas de seguridad. Los resultados de las auditorías servirán para poder corregir los errores encontrados y mejorar el sistema. • Objetivos correctivos. Este escenario supone la detección de un incidente. Debe conocerse la causa para poder aplicar las medidas correctivas que permitan evitar nuevos incidentes por esa misma vía.
3
Finalidad
• Finalidad probatoria. En especial, si el incidente ha ocasionado daños, estamos ante un escenario que deberá manejarse con extrema cautela. La obtención de pruebas es de suma importancia. La informática forense permite realizar un rastreo de la intrusión, descubrir el daño realizado y recopilar las evidencias digitales. En este contexto, hablamos de recuperación de información e incluso de descubrimiento de información. Podemos llegar a conocer el origen del ataque y los cambios realizados en el sistema (fugas de información, pérdida o manipulación de datos). Posteriormente, las evidencias halladas podrán ser utilizadas en el marco legal. • Finalidad auditora. Periódicamente debe comprobarse, a todos los niveles, la robustez del sistema informático. Las técnicas forenses se han revelado como extremadamente útiles en estos escenarios.
4
Ambito (I)
EL ÁMBITO MÁS CONOCIDO ES EL JUDICIAL SIN EMBARGO, LOS ANALISTAS NO SIEMPRE APORTAN EVIDENCIAS EN PROCESOS JUDICIALES: • Persecución criminal. Evidencia incriminatoria que puede ser usada para procesar delitos y crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. • Litigación civil. Casos relativos a fraude, discriminación, acoso, divorcio, etc. Estudios jurídicos que necesitan recabar información, ya sea para presentarla frente a un tribunal, o bien para negociar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc.
5
Ambito (II)
Investigación de seguros.La evidencia encontrada en ordenadores puede ayudar a las compañías de seguros a disminuir costes de reclamaciones por accidentes o compensaciones.
Temas corporativos. Se puede recoger información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o espionaje industrial. Empresas que realizan juicios laborales con sus empleados o con sus asociados por conflictos de intereses.
Finalidad preventiva. Como medida preventiva sirve a las empresas para auditar, mediante la práctica de pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes. Permite detectar las vulnerabilidades de seguridad con el fin de corregirlas.
6
Ambito (III)
Data recovery. Situación en la que es necesario recuperar información que ha sido eliminada por error, durante una subida de tensión, o una caída de servidores. En este escenario, habitualmente se conoce la información que se está buscando.
Network forensics. Obtener información sobre cómo un atacante ha accedido al sistema informático y las acciones que ha podido llevar a cabo en él.
7
Nuestros Principios
Evitar la contaminación. No se realizará ninguna acción que modifique los datos contenidos en un ordenador o dispositivo de almacenamiento. Para poder obtener un análisis veraz y certero, la información debe estar lo mas estéril posible. Con la evidencia electrónica (imágenes de discos y memoria, ficheros de datos y ejecutables, etc.), la práctica consiste en obtener hashes de la información en el momento de su recolección, de forma que se pueda comprobar en cualquier momento si la evidencia ha sido modificada.
Actuar metódicamente. El investigador debe ser responsable de sus procedimientos y del desarrollo de la investigación; por lo tanto, es importante que se documenten claramente los procesos, herramientas y análisis durante todo el proceso.
Tener control sobre la evidencia. Debe mantenerse en custodia cualquier evidencia relacionada con el caso, documentando asimismo cualquier evento que pueda afectarla: quién entregó la evidencia, cómo se transportó, quién tuvo acceso a la evidencia, etc. De ese modo, un tercer analista independiente debería ser capaz de examinar esos registros y alcanzar el mismo resultado.
En circunstancias excepcionales. En caso de que se deba acceder a los datos originales contenidos en un ordenador o dispositivo de almacenamiento, la persona debe ser competente en dicha práctica, explicando la relevancia y las implicaciones de sus acciones.
8
Antes del Peritaje Medidas para obtener
evidencias apropiadas Para preservar el máximo valor
de las evidencias, éstas se deben obtener en presencia del notario.(1)
La recolección y análisis de las evidencias tendrá más valor si es realizado por un perito externo que si lo es por el propio informático de la empresa.
No se pueden efectuar determinadas actuaciones que puedan ser ilegales si no se dispone de una orden judicial. Puede ser que, con la mejor voluntad de averiguar alguna cosa, se esté cometiendo un delito.
(1)CC (Código civil) art. 1216. Son documentos públicos los autorizados por un notario o empleado público competente, con las solemnidades requeridas por la ley.
Conveniencia de realizar la investigación Evaluar su conveniencia en tiempo y coste económico. ¿Tenemos base suficiente? ¿Denuncia o Querella?
9
Consideraciones: las Pruebas
Con frecuencia, ocurre que cuesta encontrar el sentido de distintos logs que no se guardaron convenientemente o que resultan confusos, que han sido regrabados o que se hayan perdido las fechas de la grabación inicial. El sentido de los logs La presentación y la comprensión de las evidencias electrónicas, en los casos judiciales, no es una tarea sencilla y puede ser difícil de comprender fuera del ámbito profesional de las TIC. El perito sólo puede trabajar para mejorar esta situación hasta cierto punto y, además, esto encarece su trabajo.
Respecto al derecho a la prueba, consultad los artículos de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (en adelante, LEC): LEC art. 281. Objeto y necesidad de la prueba. LEC art. 283. Impertinencia o inutilidad de la actividad probatoria. LEC art. 287. Ilicitud de la prueba.
La evidencia debe ser válida y apropiada.
Si se demuestra que una prueba está alterada o destruida, es posible realizarla antes de que se inicie el procedimiento. Por ello, debe advertirse al cliente y a sus abogados para que la aseguren o para que inicien los trámites necesarios.
10
Contexto y Evidencias
Verosimilitud de los datos Como la verdad se busca de manera distinta y con un objetivo diferente al del ámbito judicial, las preguntas desde un punto de vista científico podrían ser de este estilo: ¿la argumentación es lógica? ¿se basa en una hipótesis probable? ¿ha sido probada rigurosamente? ¿se basa en hechos establecidos científicamente?; ¿ha sida publicada y criticada por la comunidad científica?
Es una buena práctica contar con el perito desde las
fases iniciales, para que al establecer la estrategia a seguir .
Prueba anticipada. Cuando exista el temor fundado de que, por causa de las personas o por
el estado de las cosas, la práctica de algún tipo de prueba no pueda realizarse en el momento procesal generalmente previsto, se podrá solicitar del tribunal practicarla
anticipadamente.
Las evidencias digitales son muy frágiles y volátiles, sobre todo en el ámbito telemático, y es esencial desarrollar y aplicar las mejores prácticas y procedimientos para prevenir y resolver los retos técnicos que pueden presentarse para capturarlas,
sin perderlas o contaminarlas.
11
Cualidades del Perito
Competencia. Conocimientos precisos y necesarios para desarrollar el trabajo, estudiando los temas en profundidad, actuando con prudencia y rigor en todo el proceso. Independencia. No actuar bajo una actitud preconcebida, no tomar partido previo sobre un determinado asunto, evitar las influencias y recomendaciones, no utilizar expresiones que magnifiquen o minimicen los temas, ser consciente en todo momento de su responsabilidad social y personal. Autoridad. Saber imponer con rigor y criterio su propia competencia. Lo que importa, más que las conclusiones en sí mismas, son los razonamientos, la concatenación lógica y la fuerza convincente de los argumentos en una exposición razonada. Se pretende que el profesional que se vaya a dedicar, o se dedique ya, a esta especialidad, esté informado sobre los aspectos procesales que conlleva la actividad pericial, forense y arbitral.
12
Funciones del Perito
Recoger, registrar y archivar, si
corresponde, las solicitudes
de informe pericial que
encarguen los órganos
judiciales o las partes.
Analizar y examinar los elementos objeto de la
prueba pericial.
Pedir los datos
necesarios para
determinar las especificaciones que deban figurar en el
informe pericial.
Elaborar el informe pericial.
Entregar el informe
pericial a quien le haya
hecho el encargo
(personas, órganos
judiciales, tribunal
arbitral, etc.).
Comparecer en las vistas para ratificar el informe u ofrecer las
aclaraciones que le puedan
solicitar el juez o las
partes.
Custodiar los documentos relacionados con la prueba
pericial.
Desarrollar aquellas
funciones, tareas o
actividades no especificadas anteriormente
y que sean necesarias
para el cumplimiento normal de la
función básica y de las
funciones particulares solicitadas,
siempre dentro de las atribuciones del perito.
13
Código Deontológico
LEC art. 335. Objeto y finalidad del dictamen de peritos. Juramento o promesa de actuar con objetividad 1) Cuando sean necesarios conocimientos científicos, artísticos, técnicos o prácticos para valorar hechos o circunstancias relevantes en el asunto o adquirir certeza sobre ellos, las partes podrán aportar al proceso el dictamen de peritos que posean los conocimientos correspondientes o solicitar, en los casos previstos en esta ley, que se emita dictamen por perito designado por el tribunal. 2) Al emitir el dictamen, todo perito deberá manifestar, bajo juramento o promesa de decir verdad, que ha actuado y, en su caso, actuará con la mayor objetividad posible, tomando en consideración tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera de las partes, y que conoce las sanciones penales en las que podría incurrir si incumpliere su deber como perito.
14
Derechos, Deberes y Responsabilidades
Responsabilidad disciplinaria. Los peritos han de
cumplir las normas procesales,
manteniendo el comportamiento adecuado en los
órganos judiciales y guardando la
consideración, respeto y obediencia
debidos a los tribunales.
Responsabilidad deontológica. Como
consecuencia de controversias con las normas o el estatuto
del colegio profesional a que
pertenezca el perito.
Responsabilidad civil. El perito será
responsable de los daños y perjuicios
que pueda provocar por ocultar, de
manera consciente o no, vicios ocultos.
Responsabilidad penal. El perito puede
incurrir en responsabilidad penal por alteración grave
del orden en el tribunal o juzgado, por soborno o por incomparecencia injustificada, falso testimonio u otras
causas.
Un perito puede tener responsabilidades civiles o penales, pero tiene un margen para las equivocaciones razonables dadas las circunstancias de su trabajo. Por ello, los informes periciales acaban con frases del estilo: "Lo hago constar según mi leal saber y entender", u otras parecidas.
15
Procedimientos de Incorporación de las periciales a procesos judiciales
Fases de Intervención por designación extrajudicial Seleccióndelperito. La parte dispone de total libertad para seleccionar al perito que consideren más idóneo para sus necesidades, por las vías y procedimientos que crean
oportuno. Sin embargo, si el peritaje debe seguir la vía judicial,
Estudiodelcasoycontratodeencargo. El perito deberá analizar el caso para determinar si entra en su especialidad, y estimar los costes.
Desarrollodelperitaje.Ambas partes disponen de total libertad para determinar la manera en que se desarrollará, aunque el perito debe asegurarse de que los
procedimientos utilizados garanticen la validez de las conclusiones.
Presentacióndelinforme.Ambas partes determinan el lugar y fecha de entrega de la pericial.
Posiblepasoalavíajudicial. Debe preverse que, en caso de que la pericial se aporte posteriormente como prueba en un proceso judicial, el perito podría ser llamado a declarar
o incluso a mantener un careo con el perito de la parte contraria.
El perito seleccionado ha de ofrecer garantías de imparcialidad y no tener vinculación con la empresa u organismo que lo haya contratado.
16
Recogida de Pruebas (I)
LEC art 13 primeras diligencias, art 296 custodia de los materiales de las actuaciones de prueba y art 383 acta de reproducción y custodia.
Por ejemplo una Empresa: Descripción de todos los incidentes, incluyendo fechas y horas. Identificación de los sistemas, cuentas, servicios, datos y redes
afectados por el incidente y tiempo dedicado al incidente. Descripción de cómo ha afectado el incidente a los elementos que
hayan sido afectados. Información respecto al tipo y estimación del coste de los daños
provocados por el incidente, que pueda ser necesario conocer en reclamaciones civiles o penales.
Establecer una cadena de custodia para los materiales desde que se obtienen hasta que sean llevados al juzgado.
17
Recogida de Pruebas (II)
Admisibilidad de las evidencias digitales Para asegurar la admisibilidad de las evidencias en un proceso judicial, la información ha de ser tratada convenientemente durante todo el tiempo necesario, que puede ser incluso durante varios años. Si puede establecerse alguna duda sobre alguna parte del proceso, tanto de su tratamiento como almacenaje u otros, su valor puede ser minimizado, afectando al caso y a la sentencia sobre el mismo. Al tratar evidencias digitales, se debe tener en cuenta lo siguiente: •Mantener la integridad de las evidencias durante todo el proceso. •Las personas que intervengan tienen que estar formadas específicamente para ello. •Las actividades para la incautación, examen, almacenamiento o transferencia de las evidencias digitales deben ser documentadas, preservadas y tener la documentación disponible para su análisis. •Debe documentarse todo el proceso con detalle mientras se va desarrollando.
18
Clasificación Delitos Electrónicos
Entender el delito ayuda a comprender cuáles son los datos que deben ser recogidos y cuál será la situación si no los encontramos.
Clasificación del delito informático
El término delito informático se acuñó hacia el año 2000, el
Consejo Europeo presentó un "Tratado sobre delito informático",
Infracciones contra la confidencialidad, la
integridad y la disponibilidad de los
datos y sistemas informáticos.
Infracciones informáticas (delitos tradicionales).
Infracciones relativas al contenido.
Infracciones vinculadas a los atentados a la
propiedad intelectual y a los derechos afines.
Infracciones relativas a la privacidad.
19
Amenazas y Tendencias
Otras amenazas consideradas por Europol son el ciberterrorismo, el tráfico de drogas por Internet, las amenazas a las infraestructuras críticas y la implicación de bandas criminales organizadas en delitos de ámbito tecnológico.
Tipo de acción: interceptación de datos, interferencia de datos, acceso ilegal, robo de identidad, etc.
Tipo de autor del delito: hackers, cibercriminales, ciberterroristas, ciberguerrilleros,etc.
Tipo de objetivo: personas, empresas privadas, instituciones públicas, centros de infraestructuras críticas, gobiernos y objetivos militares.
Las redes de ordenadores zombis o botnets, que se basan en el empleo de un programa de código malicioso que se instala sin permiso en el ordenador y por el que éste queda bajo el control (zombi) de un tercero para, por ejemplo, efectuar envíos masivos de correos electrónicos.
Phishing. Es un tipo de ingeniería social combinada con la tecnología de robo de datos personales y financieros para realizar fraudes o suplantaciones de personalidad.
Pharming. Es otro tipo de ingeniería social, muy similar al phishing, pero más difícil de detectar porque consiste en la manipulación del DNS (domain name server) de manera que, en el momento de resolver la dirección IP, los usuarios son redireccionados al cibersitio fraudulento.
Vishing. Es otra evolución del phishing en el que no se usan los cibersitios, sino que se usa la VOZ IP. Se llama con voz automática a los clientes de una institución financiera y se les pide el número de tarjeta bancaria, incluyendo en la solicitud el código de validación de la misma.
SmiShing. Ataques a los teléfonos móviles conectados a Internet. Los usuarios reciben un enlace (link) a un cibersitio y cuando lo pulsan, entra en acción un troyano.
Tráfico de pornografía infantil por Internet Suplantación de personalidad.
20
El Informe y el Dictamen 21
Metodología del Informe
• El estudio previo de la documentación.
• La identificación de las pruebas periciales solicitadas.
• Búsqueda de información, datos y otras pruebas asociadas a cada pericial.
• Recopilación de fundamentos científicos o técnicos asociados a cada
pericial.
• Desarrollo de las conclusiones.
22
Detalle de las Pruebas practicadas
Formalidades. Identificación del perito, referencias del peritaje, fechas de realización de las pruebas.
Descripción de los ítems examinados con sus identificaciones pertinentes.
Identificaciones de fábrica, modelos, números de serie, documentación de la cadena de custodia.
Descripción breve de las acciones realizadas en el examen, búsquedas de información o recuperaciones de ficheros, etc.
Descripción general de las evidencias encontradas.
Sumario de utensilios, dispositivos y programas usados.
Sumario de las implicaciones de las evidencias encontradas.
23
Línea Argumental
Es importante resaltar que la
línea argumental ha de ser cierta y
sólida, sin fisuras ni licencias
técnicas o de interpretación.
Si es posible, el perito debería garantizar el
vínculo entre el resultado de las
pruebas y la responsabilidad
que corresponda al
acusado.
Las notas tomadas deben
ser suficientemente detalladas para poder duplicar
el proceso realizado de la misma forma.
Debe darse suficiente
información del contexto técnico
del sistema.
24
Forma y Contenido (I)
Portada. En la portada del informe pericial, hay que indicar el caso del que forma parte y
el nombre del solicitante.
Índice. Se han de poder localizar los apartados, sobre todo las conclusiones.
Presentación. Han de constar los datos del perito y del solicitante.
Partesimplicadas. Deberán constar las partes implicadas en la pericial, la
identificación del procedimiento, la aceptación del cargo con la fecha y el plazo para realizarlo.
Antecedentes. En este apartado, se describe el escenario en el que se ha desarrollado el caso y los antecedentes documentales que se han tenido en cuenta, tanto procesales como
extraprocesales.
25
Forma y Contenido (II)
Pruebaspericialessolicitadas. Se detallan, de manera literal, las pruebas periciales solicitadas por cada
parte o por el juez, y se transcriben en su totalidad.
Fundamentosteóricosymétodosoprocedimientosaplicados. En este apartado, se detallan los fundamentos teóricos y los procedimientos seguidos para obtener las pruebas periciales.
Actuacionesdecomprobación: – de lugares, cosas y personas, y las partes que asistieron a las mismas, y
cuál fue su intervención. – de datos, y de análisis para la
obtención de resultados.
Resultadosdelasactuaciones. no debe omitirse ninguna de las operaciones realizadas ni los principios científicos o técnicos en los que se basa el perito. Suele ser la parte más
extensa del informe pericial.
Conclusiones. Las conclusiones a las que ha llegado el perito a partir de cada una de las pruebas periciales que le han sido solicitadas.Hay
que presentar por separado cada una de las cuestiones con las conclusiones
El perito no debe adoptar el papel de abogado ni, por supuesto, el del juez. Son los abogados quienes argumentan e intentan persuadir. Los peritos tienen que mantenerse en los hechos, abstenerse de efectuar
valoraciones que no hayan sido solicitadas, ni hacer referencia a hipótesis.
Anexos
26
Exposición Oral
• Aclare o amplíe cuestiones del dictamen.
• Responda a preguntas u objeciones de las partes.
• Haga una exposición completa o más detallada del dictamen.
• Realice operaciones complementarias.
• Responda a preguntas u objeciones sobre la metodología utilizada.
• Responda a objeciones sobre algunos puntos del dictamen.
• Una crítica del dictamen por el perito de la parte contraria.
27
La Evidencia Digital
CARACTERISITICAS • Se puede modificar o eliminar fácilmente. • Es posible obtener una copia exacta de un fichero sin dejar huella alguna. • La adquisición de la evidencia puede suponer la alteración de los soportes digitales originales.
Preguntas claves • ¿QUÉse ha cometido? • ¿CUÁNDOse ha realizado? • ¿DÓNDEse ha cometido? • ¿QUIÉNlo ha realizado? • ¿CÓMOse ha llevado a cabo? • ¿PORQUÉse ha cometido?
28
Publicado el 26/11/2012 Bogotá (Colombia)
Noticias Capital 12:00 p.m 26 de noviembre de 2012 En la lista de los 12 delitos informáticos está primero: fraudes en redes sociales, en segundo lugar las aplicaciones móviles maliciosas y el tercero fraude a viajeros.
Delitos Informáticos: Navidad 2012 29
Análisis Forense Informático
ASEGURAR LA ZONA
DEL SUCESO
Identificar la escena
donde se ha producido el
hecho a investigar y establecer
un perímetro de
seguridad.
Restringir el acceso de personas y
equipos informáticos al interior del
perímetro trazado.
No permitir el uso de ningún
dispositivo con
tecnología inalámbrica por ninguna
de las personas presentes.
Preservar las huellas digitales
mediante el uso de
guantes de látex.
30
Análisis Forense Informático (II)
Debe valorarse, en este momento, la
posibilidad de desconectar las
conexiones de red del sistema (dispositivos
inalámbricos, cables telefónicos, etc.). La desconexión podría
evitar que un determinado delito o suceso pueda seguir produciéndose (por
ejemplo, podría evitar la eliminación
remota de las pruebas digitales), pero también cabe valorar la utilización
de la red para monitorizar las conexiones e
investigar el origen del suceso (aunque
hay que tener en cuenta que la
realización de estas operaciones sobre el equipo a investigar podría implicar la
pérdida de la validez de la prueba ante un
juez).
Si se hallan impresoras en
funcionamiento, permitir que terminen la impresión.
Anotar hora y fecha del sistema
(timestamp) antes de apagarlo (siempre
que aparezcan en el monitor, sin tener que manipular el
sistema), documentando estos
valores e incluso fotografiándolos o grabándolos en
vídeo.
Igualmente, en caso que en el monitor
aparezcan procesos relevantes (por
ejemplo, los archivos que se están
compartiendo en una aplicación P2P), es
importante fotografiar o grabar
en vídeo esta información. En general, debe documentarse
cualquier salida del sistema que se
considere de interés.
La fecha y hora del sistema no tiene que
coincidir necesariamente con la real. Este desfase
puede ser crucial para el analista y
debe ser documentado en
este instante.
Apagar los dispositivos
encendidos quitando la alimentación de la parte posterior del
equipo (especialmente, en aquellos casos en los que se detecte
destrucción de información). En caso de quitar el
cable directamente del enchufe, hay que tener presente que el sistema podría disponer de algún
mecanismo de protección en caso de caída del fluido
eléctrico, y se podrían escribir
datos en el disco duro del equipo.
Asimismo, el apagado "normal"
del ordenador también podría
ocasionar pérdidas graves de
información en caso de que el apagado
active algún proceso de eliminación de evidencias (por
ejemplo, un hacker malicioso podría
disponer de medidas de protección de
este tipo)
31
Análisis Forense Informático (III) 32
Análisis Forense Informático (IV)
Obtención de evidencias En otras ocasiones, las evidencias de interés se obtendrán, por ejemplo, al monitorizar una red, lo cual puede significar, de nuevo, la invalidación de la prueba ante un tribunal. Como ya se ha mencionado, en caso de disponer de secretario judicial, será imprescindible documentar en acta todas las manipulaciones que se hayan producido para llegar a obtener la evidencia.
Ejemplo de dispositivos electrónicos susceptibles de almacenar información relevante
Ordenadores y periféricos conectados a ellos (desde impresoras hasta grabadores de tarjetas magnéticas).
Discos duros, CD o DVD.
Dispositivos en desuso, como unidades ZIP o JAZ, disquetes de 5 1/4", etc.
Componentes de red, como por ejemplo un router o un switch.
Puntos de acceso de las redes inalámbricas.
Dispositivos móviles (teléfonos, PDA, etc.).
Memory sticks y memory cards.
Impresoras, escáneres y fotocopiadoras.
Tarjetas magnéticas, buscapersonas, etc.
Pendrive
Cintas de backup (en este caso, cabe valorar la posibilidad de recoger también el dispositivo lector de las cintas, manuales y cableado específico del dispositivo).
Dispositivos GPS.
Sistemas de videovigilancia (normalmente, disponen de formatos de sistema de ficheros propios, lo cual dificulta o imposibilita su análisis).
Cámaras fotográficas y de vídeo digitales.
Manuales, notas, papel impreso, etc.
33
Análisis Forense Informático (V)
Realizar una lista con los sistemas (y
su descripción) involucrados en el
suceso.
En cuanto a las personas implicadas,
solicitar aquellos datos que se consideren
relevantes, como por ejemplo: nombre, DNI,
contraseñas del sistema y de usuarios, acciones que se hayan llevado a
cabo desde el conocimiento del
incidente, etc.
Fotografiar y/o grabar en vídeo la
escena del suceso6. En muchas
ocasiones, también es deseable representar
esquemáticamente el sistema a estudiar
Etiquetar los cables y componentes. Muchos dispositivos, como los
periféricos lectores/grabadores de
tarjetas magnéticas, pueden necesitar de un cableado específico sin el cual el dispositivo no
podrá funcionar y no podrá ser analizado posteriormente en el
laboratorio.
Mención aparte merecen los discos duros, principales
objetos de análisis en la mayoría de los casos.
En estas circunstancias, deben documentarse todos los elementos
identificativos del disco duro (marca, modelo,
número de serie, capacidad, etc.)..
Fotografiar y grabar en vídeo los dispositivos
con las etiquetas colocadas.
34
Peritaciones, Auditorías, Arbitrajes y Tasaciones Judiciales Informáticas, Asistencia a Juicios e Informática Forense Pedro Palos, email: [email protected] MUCHAS GRACIAS POR VUESTRA ATENCIÓN!!!!
www.peritoinformaticoensevilla.com 35