![Page 1: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/1.jpg)
Tratamiento de los Delitos Informáticos en
Entorno Corporativo
Un Caso Practico
Ezequiel Sallis Policía Metropolitana División Cibercrimen
@simubucks
Segurinfo 2014 Gustavo Presman
EIF Estudio Informática Forense
@gpresman
![Page 2: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/2.jpg)
Índice
Investigación Teoría y Practica
Introducción / Presentación del caso
Conclusiones
Pericia Teoría y Practica
![Page 3: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/3.jpg)
Delitos Informáticos: Tipos
Confidencialidad
La Tecnología es el medio
Disponibilidad
Integridad
La Tecnología es el fin
La Tecnología es incidental
Personas
Información
![Page 4: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/4.jpg)
Leyes Falta de Marco Legal
Falta de Capacitación
Falta de Recursos
Procesos
Protocolos
Herramientas
Acuerdos
Tratados
Globalización
Tecnología y Sociedad
Delitos Informáticos: Desafíos
![Page 5: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/5.jpg)
Factor Tiempo
Caso
Investigador
Metodología
Colaboración de Terceras
Partes
Factor Suerte
Marco Legal
Entorno
Información Inicial
Delitos Informáticos: Desafíos
![Page 6: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/6.jpg)
Fuerza del Ley
Empresa 2.0
Proveedor de Servicio
Terceras Partes
Investigación: Teoría
![Page 7: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/7.jpg)
Investigación: Teoría
Fuerzas de la Ley
Internacionales
Nacionales
Interpol
FBI HSI DEA SS
Policia Otros
![Page 8: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/8.jpg)
Investigación: Practica
![Page 9: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/9.jpg)
Investigación: Practica
![Page 10: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/10.jpg)
Investigación: Practica
![Page 11: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/11.jpg)
Investigación: Practica
![Page 12: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/12.jpg)
Investigación: Practica
![Page 13: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/13.jpg)
Telefonía Celular
Telefonía Tierra
Internet
Trunking
Satélites
Carrier
Registros
Contenido
Proveedores de Servicios
Investigación: Teoría
![Page 14: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/14.jpg)
Investigación: Practica
![Page 15: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/15.jpg)
Investigación: Practica
![Page 16: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/16.jpg)
Si bien existen centenares de redes sociales y aplicaciones Web, a la hora de brindar información
a las fuerzas de la ley, todas tienen puntos en común.
Investigación: Teoría
![Page 17: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/17.jpg)
Solicitudes Tradicionales:
En donde el asunto bajo investigación no pone en juego daño físico o psicológico o bien la muerte de
una persona.
Solicitudes de Emergencia:
En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien la
muerte de una persona. La emergencia toma mayor relevancia cuando la víctima es
menor de edad. En todos los casos en que se realice esta solicitud debe manifestarse de
forma explícita y evidente la emergencia.
Investigación: Teoría
![Page 18: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/18.jpg)
Preservación: Refiere a solicitar que la empresa resguarde el contenido asociado a un
determinado usuario, independientemente de que el usuario lo borre o lo altere, es
decir que preservara la información de la cuenta por un determinado periodo de
tiempo. Este tipo de pedido no necesariamente requiere de una orden
o autorización de un juzgado. Registros: Refiere a que la empresa brindara registros (direcciones IP, fechas, horas, zona
horaria) de todas las interacciones que se han tenido con la cuenta o perfil
en cuestión, es decir, fecha y lugar de creación, fecha y lugar de accesos exitosos a
la cuenta, fecha y lugar de acceso fallidos a la cuenta y otros. Este tipo de pedidos
siempre requiere de la autorización de un Juzgado. Contenido: Refiere a que la empresa brindara el contenido asociado a una cuenta, perfil o servicio,
siempre teniendo en cuenta la información disponible y permitida en su política de
privacidad, preservación o destrucción de información. Este tipo de pedidos siempre
requiere de la autorización de un Juzgado. Este tipo de contenido solo puede ser
solicitado a través de un MLAT Mutual Legal Assistance Treaties entre el país
solicitante y el país de destino de los datos.
Investigación: Teoría
![Page 19: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/19.jpg)
Importante:
La autorización por parte del juzgado que habilita a solicitar información relevante en base a un determinado caso bajo
investigación debe especificar de forma clara:
Tipo de delito que se investiga
Ley que aplica al delito investigado
Valor que la información aportara a la investigación
Investigación: Teoría
![Page 20: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/20.jpg)
Ninguna de las empresas brindara información si el requerimiento no cumple con las
siguientes características: •La información solicitada no se encuadra bajo un
proceso legal.
•La información solicitada no es lo suficientemente completa.
•La información solicitada es excesiva, poco clara y puede
generar una carga de trabajo elevada para la empresa que la
provee.
•La información solicitada no se realiza por las vías adecuadas e
informadas por la empresa. •La información solicitada no proviene de un dominio asociado a un gobierno
o fuerza de la ley.
Investigación: Teoría
![Page 21: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/21.jpg)
Investigación: Practica
![Page 22: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/22.jpg)
Investigación: Practica
![Page 23: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/23.jpg)
Investigación: Practica
![Page 24: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/24.jpg)
La Pericia Informática
Recolección de la Evidencia
Procesamiento de la Evidencia
![Page 25: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/25.jpg)
*Evidencia Local *Evidencia en la nube
(Dropbox, Skydrive…)
Acceso a la Evidencia local
• Durante el allanamiento
• Preconstitución Notarial (si el incidente es detectado internamente)
![Page 26: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/26.jpg)
Recolección de Evidencia local mediante acta Notarial Rol del:
ESCRIBANO
REQUIRENTE
PERITO
Validez de la Escritura Redarguciones de Falsedad
![Page 27: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/27.jpg)
Plazo : Tiempo transcurrido del incidente a la recolección
Requirente : Apoderado o Titular con derecho Elementos : Propiedad / Inventarios Profesional Informático : Audiencia Testimonial o
de peritos Autorización Expresa : Al perito en caso de solicitar
informe Material Recolectado : Autenticacion y Sellado Custodia : Notarial o del Requirente ?
El Acta Notarial
![Page 28: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/28.jpg)
Imágenes Forenses 101 EVIDENCIA FISICA
ARCHIVO DE EVIDENCIA ó CLONADO FORENSE : COPIA BIT A BIT DEL MEDIO
MAGNETICO AUTENTICACION DE EVIDENCIA POR MEDIO DE UN ALGORITMO
DE HASH DEL CONTENIDO TOTAL DE LA EVIDENCIA
5b748e186f622c1bdd6ea9843d1609c1
HASHES USUALES
MD5 (128 bits) SHA-1(160 bits) SHA-256 (256 bits)
![Page 29: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/29.jpg)
Obtención de Imágenes Forenses
•De Forma directa
•De Forma Indirecta
![Page 30: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/30.jpg)
No disponemos de los datos No tenemos acceso a la infraestructura física Son sistemas distribuídos y virtuales Tienen espacio de almacenamiento distribuido en ubicaciones cambiantes Pueden compartir espacio fisico entre usuarios Frecuentemente transnacionales Con poca o nula colaboración del CSP
Desafios para la recolección de Evidencia en la nube
![Page 31: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/31.jpg)
La misma puede ser recolectada voluntariamente por la
parte* u ordenada por las autoridades legales *Siempre que tenga validez legal y técnica
Por vía indirecta (Artefactos locales en almacenamiento masivo o memoria
RAM y en Tráfico de red )
Por vía directa: Con acceso de “bajo nivel” a la nube
Recolección de Evidencia en la nube
![Page 32: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/32.jpg)
Investigaciones de Pornografía Infantil en Internet (PI)
El análisis forense puede auxiliar en dos áreas :
Identificación del sospechoso Análisis de contenido digital de medios
De la Ley 26388/08 Art. 2 ”…Tenencia de pornografía infantil para distribución o comercialización…”
![Page 33: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/33.jpg)
Identificación del sospechoso
Identificación Casual : Politicas corporativas , simple observación , denuncia
Ciberpatrullajes Interpol , Guardia Civil Española … Proveen : IP del usuario
Email de conexión (usualmente Webmail)
Investigaciones de Pornografía Infantil en Internet (PI)
![Page 34: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/34.jpg)
MD5
SHA1
Flujo de Investigación PI
Material Secuestrado
![Page 35: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/35.jpg)
Análisis del contenido de medios digitales en PI
Imágenes (JPG/JPEG/BMP…) Videos (MPG/AVI/MP4/3GP…)
![Page 36: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/36.jpg)
Análisis del contenido de medios digitales en PI
Cruzamiento de Hahes con bases de datos de fuerzas de la ley (INTERPOL)
![Page 37: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/37.jpg)
Sitios de intercambio Peer to Peer (P2P)
usuario
usuario usuario
usuario
NAPSTER MORPHEUS EMULE
BIT TORRENT LIMEWIRE iTUNES
![Page 38: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/38.jpg)
Artefactos P2P
Instalación del producto (manual/automatico)
Cantidad de ejecuciones Archivos descargados
Archivos en progreso de descarga (contenido parcial)
Archivos compartidos Direcciones IP de descargas en progreso
Listados de búsquedas
![Page 39: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/39.jpg)
Conclusiones
Existe un comité de investigación y respuesta a incidentes ?
Esto podría esta ocurriendo hoy en su organización…
Están otras áreas preparadas para interactuar (RRHH, Legales … ?
Preguntas ?
![Page 40: Tratamiento de los Delitos Informáticos en Entorno Corporativo · Solicitudes de Emergencia: En donde el asunto bajo investigación pone en juego daño físico o psicológico o bien](https://reader033.vdocuments.co/reader033/viewer/2022042709/5f3e9d2e5404fd0b1b0cd69a/html5/thumbnails/40.jpg)
Tratamiento de los Delitos Informáticos en
Entorno Corporativo
Ezequiel Sallis Policía Metropolitana División Cibercrimen
@simubucks
Muchas gracias
Gustavo Presman EIF
Estudio Informática Forense @gpresman