UNIVERSIDAD NACIONAL DE INGENIERIA1

PRESENTACIN

INTRODUCCION

Desde que apareci Internet, uno de sus principales objetivos est relacionado con su uso en las empresas y otras instituciones no comerciales.De hecho, la primera red de computadoras llamada "Arpanet" (Advanced Research Projects Agency Network) fue creadaa peticindel Departamento de Defensa de EU como medio de comunicacin para los diferentes organismos del pas pero no para ser una red totalmente segura y confidencial sobre todo en sus inicios.De ah en adelante sus beneficios se multiplicaron hasta lo que es ahora: una enorme plataforma que nos permite guardar y buscar datos, adems de comunicarnos con cualquier empresa o cualquier persona, sin importar la ubicacin que posea en el mapa.Sin embargo, tan importante como conocer sus beneficios es tambin entender los riesgos inherentes a la seguridad, cuando se implementa este tipo de tecnologa que dicho sea de paso ya ha roto se ha roto la frontera.De acuerdo con algunas empresas de investigacin, la seguridad de la informacin seguir siendo una preocupacin ejecutiva durante, al menos, los prximos aos, debido a las nuevas olas tecnolgicas que modificarn las medidas de seguridad existentes.Precisamente, con el objetivo de reducir en porcentaje este problema, es que aparece una nueva modalidad llamada "Informtica Forense", que permite la solucin de conflictos tecnolgicos relacionados con seguridad informtica y proteccin de datos.Esta rama investigativa tuvo su origen desde el ao 1984 cuando los laboratorios del FBI y otras agencias de los Estados Unidos que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. Se reconoce a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit (software forense), como los pioneros de la informtica forense y actualmente, Brian Carrier, es probablemente uno de los mayores expertos mundiales en el tema.El uso y evolucin de las tecnologa de informacin y la comunicacin (TICS), brinda nuevas oportunidades para que una institucin este innovada y pueda prevalecer frente a la competencia, transformando sustancialmente los procesos de intercambio y produccin de informacin.

Pero el uso indebido de las mismas por gente inescrupulosa que realiza ataques en contra de la integridad se sistemas computacionales o redes ha causado ingentes perdidas econmicas especialmente en el sector comercial y bancario, debido a esto las empresas pierden credibilidad y se debilitan institucionalmente.

Por esta razn se desarrollan herramientas que permite descubrir a los autores del delito y asegurar las pruebas del mismo.Esta informacin pueden ir desde los archivos borrados (o piezas de los archivos eliminados) y documentos existentes almacenados en un disco duro o de almacenamiento en cualquier medio de comunicacin.

DEDICATORIA

A nuestros padres por su amor, cario y apoyo en los buenos y en los malos momentos y por la oportunidad que nos brindaron de poder estudiar en una institucin como la UNIVERSIDAD NACIONAL FEDERICO VILLARREAL.

INDICECONTENIDO1. ENFOQUE GENERAL DE LA INFORMATICA FORENSE

1.1 La informtica Forense...61.2 Importancia de la Informtica Forense...71.3 Conceptos Relacionados a Informtica Forense.....8

2. HERRAMIENTAS DE UN ANALISIS FORENSE

2.1 Autopsy Forensic Browser...172.2 The Forensic ToolKit...192.3 The Sleuth Kit y Autopsy.....202.4 HELIX CD202.5 F.I.R.E. Linux........212.6 Marco Digital Forensics....212.7 X-Ways Forense212.8 SANS Investigacin Forense Toolkit SIFT....222.9 CAINE...232.10 EnCase.....242.11 Recon Registro....242.12 Oxgeno suite Forens...252.13 XRY.25

3. ESTUDIO DE LAS FASES DE UN ANALISIS FORENSE

3.1 1 Fase : Asegurar la Escena...273.2 2 Fase: Identificacin y Recoleccin de Evidencias ...283.2.1 Identificacin de las evidencias ...293.2.2 Recoleccin de evidencias ...303.3 3 Fase: Preservacin de las evidencias ....313.4 4 Fase: Anlisis de las Evidencias. ...323.4.1 Preparar un entorno de trabajo .....333.4.2 Creacin de la lnea temporal ...343.4.3 Determinar cmo se Actu. ......353.4.4 Identificacin de Autores.......383.4.5 Impacto Causado...383.5 5 Fase: Redaccin de Informes.....393.5.1 El informe ejecutivo......393.5.2 El informe Tcnico..40

4. CASOS PRACTICOS

4.1 El Lado del Mal...414.2 Proyecto Foca......434.3 Analisis Forense de Metadatos....444.4 Informacin Oculta OLE Streams...454.5 Metadatos creados por Google....464.6 Compartiendo Infraestructura..484.7 Operacin Aurora....514.8 Anlisis Forense..54

1. ENFOQUE GENERAL DE LA INFORMATICA FORENSE

Gracias a ella las empresas obtienen respuesta a: Problemas de privacidad Competencia desleal Fraude Robo de informacin confidencial Espionaje industrialTodos los problemas surgidos por un uso indebido de los beneficios que nos entregan las tecnologas de la informacin.

1.1.- LA INFORMATICA FORENSE De qu se trata? Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrnicamente para que puedan ser aceptadas en un proceso legal. Las distintas metodologas forenses incluyen lacaptura segura de datos de diferentes medios digitales y evidencias digitales, sin alterar la informacin de origen.Las evidencias digitales recabadas permiten elaborar un dictamen fundamentado y con justificacin de las hiptesis que en l se barajan a partir de las pruebas recogidas.Gracias a este proceso, la informtica forense aparece como una "disciplina auxiliar" de la justicia moderna, para enfrentar los desafos y tcnicas de los intrusos informticos, as como garante de la verdad utilizando la "evidencia digital".Funciona?Durante julio de este ao se conoci el caso de la profesora venezolana, Carmen Cecilia Nares Castro, acusada de desestabilizar el mercado bancario de su pas, a travs del sistema Twitter.Durante el proceso, investigado con informtica forense, fueron analizados su computadora, su conexin a Internet, su telfono Nokia y todos aquellos elementos que la pudieran vincular a laviolada cuenta en la red social.Gracias a ello se puedo esclarecer la inocencia de la profesional, quien "no haba ningn elemento en contra de mi cliente donde se determinen culpabilidad", segn su abogado.Otra investigacin llevada a cabo por el Munk Centre for International Studies de la Universidad de Toronto (Canad) y el Departamento de Ciencias de la Computacin de la Universidad de Cambridge (Inglaterra), logr dejar al descubierto en abril de 2009 a una red de espionaje ciberntico que operaba en 103 pases.El malware que usaba GhostNet permita controlar a distancia los ordenadores de varios gobiernos y compaas privadas -infectados con l- pudiendo obtener documentos, activar la webcam y el micrfono entre otras cosas.Del mismo modo, en diciembre del ao pasado se conoci el caso de un hombre que amenaz de muerte al hijo menor del presidente lvaro Uribe a travs Facebook.Este individuo apareci en un grupo de la red social, donde indicaba textualmente: "Me comprometo a matar a Jernimo Alberto Uribe, hijo de lvaro Uribe".Tras cinco meses de investigacin en Internet, el hombre fue detenido y puesto bajo la justicio ordinaria. Todo, gracias a las acciones realizadas por los forenses informticos de ese pas.

1.2.- IMPORTANCIA DE LA INFORMTICA FORENSE.IMPORTANCIADebido al aumento del valor de la informacin y/o al uso que se le da a sta, y al desarrollo de nuevos espacios donde es usada. Es por esto que cuando se realiza un crimen, muchas veces la informacin queda almacenada en forma digital.Existe un gran problema, debido a que los computadores guardan la informacin de forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los tradicionales.OBJETIVOSObjetivo Principal:Recolectar evidencia digital presente en toda clase de infracciones en los delitos informticos.Objetivos especficos:Compensar de los daos causados por los criminales o intrusos.Perseguir y procesar judicialmente a los criminales informticos.La creacin y aplicacin de medidas para prevenir casos similaresUSOS:Prosecucin Criminal:Evidencia incriminatoria puede ser usada para procesar una variedad de crmenes, incluyendo homicidios, fraude financiero, trfico y venta de drogas, evasin de impuestos o pornografa infantil.Litigacin Civil:Casos que tratan con fraude, discriminacin, acoso, divorcio, pueden ser ayudados por la informtica forense,Investigacin de Seguros:La evidencia encontrada en computadoras, puede ayudar a las compaas de seguros a disminuir los costos de los reclamos por accidentes y compensaciones.Temas corporativos:Consiste en recolectar informacin en caso que traten sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o propietaria, o aun espionaje industrial.Mandamiento de ley:La informtica forense puede ser usada en bsqueda inicial de rdenes judiciales, as como en la bsqueda de informacin una vez que se tiene la orden judicial para hacer la bsqueda exhaustiva.Investigacin cientfica:Academias y universidades aprovechan las bondades de la informtica forense para realizar estudios de seguridad, vigilar la evolucin de las amenazas e identificar las tendencias de los ataques informticos, entre otros.Usuario final:Cada vez es ms comn que las personas usen herramientas de software para recuperar archivos borrados, encriptar documentos y rastrear el origen de un correo electrnico.1.3.-CONCEPTOS RELACIONADOS A INFORMATICA FORENSE.Delitos InformticosEl delito informtico implica cualquier actividad ilegal que encuadra en figuras tradicionales ya conocidas como robo, hurto, fraude, falsificacin, perjuicio, estafa y sabotaje, pero siempre que involucre lainformticade por medio para cometer la ilegalidad.

Delitos Informticos

La Organizacin de las Naciones Unidas (ONU) define tres tipos de delitos informticos:1.-Fraudes cometidos mediante manipulacin de computadorasLos fraudes cometidos mediante manipulacin de computadoras pueden clasificarse en: Manipulacin de los datos de entrada o sustraccin de datos. La manipulacin de programas: modificacin de programas existentes en un sistema o la insercin de nuevos programas. Manipulacin de los datos de salida.Fraude efectuado por manipulacin informtica: tambin llamado "tcnica del salame", aprovecha las iteraciones automticas de los procesos de cmputo. Tcnica del SalameEs una tcnica especializada que tambin es denominada "tcnica del salchichn" en otros lugares del mundo, en la cual rodajas muy pequeas apenas perceptibles, de transacciones financieras, se van tomando repetidamente de una cuenta y se transfieren a otra.Esta tcnica consiste en introducir a los programas algunas instrucciones o condiciones para que enve a una determinada cuenta los cntimos de dinero de muchas cuentas corrientes.

2.- Manipulacin de los datos de entrada Los fraudes cometidos mediante la manipulacin de los datos de entrada: Como objeto: alteracin de los documentos digitales. Como instrumento: uso de las computadoras para falsificar documentos de uso comercial.

3.- Daos o modificaciones de programas o datos computarizadosLos daos o modificaciones de programas o datos computarizados: Sabotaje informtico: accin de eliminar o modificar funciones o datos en una computadora sin autorizacin, para obstaculizar su correcto funcionamiento. Acceso no autorizado a servicios y sistemas informticos. Reproduccin no autorizada de programas informticos de proteccin legal: piratera.

Actores dentro de un delito informticoExisten dos tipos de actores o personas involucradas en una actividad informtica delictiva: Sujeto activo: aquella persona que comete el delito informtico. Sujeto pasivo: aquella persona que es vctima del delito informtico

(Actores Dentro de un Delito Informtico)

Piratera Piracy:Trmino utilizado para referirse a la copia ilegal de obras literarias, musicales, audiovisuales o de software, infringiendo los derechos de autor. Tambin hace referencia a la compra/venta de las obras, quien lo hace es considerado "pirata". Suele relacionarse la piratera a los "piratas informticos", aunque ambas actividades no necesariamente estn ligadas. Piratera de software en el mundo se estima que en 2006, hubo prdidas por 40 mil millones de dlares por la piratera de software en todo el mundo. Un 66% del software instalado en Latinoamrica es pirata (2 puntos porcentuales menos que en 2005). En tanto, a nivel mundial es de un 35%. En Argentina, el 75% del software instalado en 2006 era software pirata, produciendo prdidas por 303 millones de dlares. En Brasil, el 60% del software es pirata, produciendo 1.148 millones de dlares en prdidas. En Mxico se produjeron prdidas por 748 millones de dlares, en tanto en Venezuela se perdieron 307 millones. En EE.UU. el 21% del software instalado es pirata produciendo 7.300 millones de dlares en prdidas. En China, en tanto, se produjeron prdidas por 5.400 millones de dlares con una tasa de piratera del 82%. Francia, 45% de piratera y prdidas por 2.700 millones. Otras tasas de piratera: Venezuela 86%, Paraguay 82%, Bolivia 82%, Panam 74%, Per 71%, Uruguay 70%, Colombia 69%, Chile 68%, Ecuador 67% y Costa Rica 64%.

Evidencia DigitalUna definicin uniforme y universal de evidencia digital, esta es un tipo de evidencia fsica, es aquella evidencia construida por campos magnticos y pulsos electrnicos que puedes ser recolectados, almacenados y analizados con herramientas tcnicas especiales.La evidencia digital es una denominacin usada de manera amplia para describir cualquier registro generado o almacenado en un sistema computacional que puede ser utilizado como prueba en un proceso legal.De acuerdo con el HB: 1717 2003 Guidelines for the Managment of IT Evidence, la evidencia digital es cualquier informacin que, sujeta a una intervencin humana u otra semejante, ha sido extraida de un medio informtico.El documento mencionado establece tambin que la evidencia digital puede dividirse en 3 categoras: Registros almacenados en el equipo de tecnologa informtica (por ejemplo, correos electrnicos, archivos de aplicaciones de ofimtica, imgenes, etc.). Registros generados por los equipos de tecnologa informtica (registros de auditora, registros de transacciones, registros de eventos, etc.). Registros que parcialmente han sido generados y almacenados en los equipos de tecnologa informtica. (hojas de clculo financieras, consultas especializadas en bases de datos vistas parciales de datos, etc.).La evidencia digital es nica, cuando se la compara con otras formas de evidencia. A diferencia de la evidencia fsica, la evidencia digital es frgil y una copia de un documento almacenado en un archivo es idntica al original. Otro aspecto nico es su potencial de realizar copias no autorizadas de archivos, sin dejar rastro alguno. La evidencia digital posee, entre otras, las siguientes caractersticas: Es voltil Es annima Es duplicable Es alterable y modificable Es eliminable.Tales caractersticas sugieren la exigente labor requerida por los especialistas cuando tenga que llevarse adelante investigaciones sobre la delincuencia informtica, en procedimientos, tcnicas y herramientas tecnolgicas para obtener, custodiar, revisar, analizar y presentar la evidencia encontrada en la escena del crimen. Se requiere tratamiento especial a tiempo para manejar la evidencia digital durante el juicio, ms all del cumplimiento de las normas formales, pues estas deben estar articuladas con los esfuerzos de conservacin y seguridad de los estndares internacionales.Recoleccin de datos, en esta etapa se debe recoger la informacin relevante y conservarla para garantizar los requisitos de admisibilidad de la prueba: Como muchas veces no es posible presentar los sistemas involucrados en una audiencia o tenerlos durante la investigacin, se recomienda tomar una copia idntica bit a bit- de su contenido en cuanto a la presentacin de evidencia una de bajo nivel en la que se muestre la informacin tal como es sin ninguna anotacin y/o modificacin y otra editada, en la que este solo la informacin relevante y que explique que se hizo con ella y porque. Con este enfoque es posible realizar una inspeccin cruzada en la que la copia de bajo nivel sea la encargada de sustentar tcnicamente los argumentos presentados en la parte editada y comentada. Adems es recomendable clasificar la evidencia para su presentacin en un juicio e identificar si los datos: Verifican los datos y teoras existentes (evidencia que inculpa). Contradicen los datos y teoras existentes (evidencia que exculpa). Muestran signos de manipulaciones para esconder otros datos.Clasificacin de la EvidenciaLa evidencia digital puede ser clasificada, comparada e individualizada de varias maneras; para ello se debe considerar los siguientes aspectos: Contenido: Un e-mail por ejemplo, puede ser clasificado por su contenido como SPAM e individualizado a partir del contenido de sus encabezados, informacin que por lo general no es visible para el usuario; por ejemplo, por su direccin de origen.

Funcin: El investigador puede examinar cmo funciona una programa para clasificarlo y algunas veces individualizarlo, por ejemplo, un programa que inesperadamente transfiere informacin valiosa desde un computador confiable a una locacin remota podra ser clasificado como un caballo de Troya y se individualizado por la localizacin remota a la que transfiere la informacin.

Caractersticas: Los nombres de archivo, extensiones e inclusive los encabezados internos que identifican los formatos de archivo que existen pueden ser de utilidad en la clasificacin de evidencia digital.

La cadena de custodiaLa Cadena De Custodia (tambin conocida como CdC)es uno de los protocolos de actuacin que ha de seguirse con respecto a una prueba durante su perodo de vida o de validez, desde que sta se consigue o genera, hasta que se destruye, o deja de ser necesaria.Este protocolo debe controlar dnde y cmo se ha obtenido la prueba, qu se ha hecho con ella -y cundo-, quin ha tenido acceso a la misma, dnde se encuentra sta en todo momento y quin la tiene y, en caso de su destruccin por la causa que sea-, cmo se ha destruido, cundo, quin, dnde y porqu se ha destruido.Este procedimiento de control debe ser absolutamente riguroso, tanto con la prueba, como los hechos que la afectan, as como con el personal que tiene acceso a la misma, de tal forma que cuando sta o cualquier informe que se genere sobre ella-, llegue a manos del juzgador, no pueda dudarse ni por un instante de su validez,tanto de la prueba, como del informe, en su defecto, o como acompaamiento de la misma.En muchos textos se define la cadena de custodia como el procedimiento de control que se aplica al indicio material relacionado con el delito, desde su localizacin, hasta que es valorado por los rganos de administracin de Justicia. Esta primera parte de la definicin es vlida como concepto genrico pero,en informtica, hay que precisar que un conjunto de datos obtenidos en el primer anlisis-el de campo, en el lugar de los hechos-, se destruye necesariamente. Me estoy refiriendo a las memorias voltiles. La Polica cientfica, o quien est encargado de recoger esta primera y valiossima informacin, deber generar un informe basado en gran parte en la prueba documental textual y fotogrfica tomada en el momento del primer estudio hecho sobre el terreno, de todos aquellos datos que pueda obtener y que sabe a ciencia cierta que van a perderse, nada ms desenchufar el dispositivo.Imaginemos, por ejemplo, un router ADSL. Este dispositivo tendr un LOG (un registro de conexiones) guardado, en el que se podr constatar qu ordenadores (y sus MAC e IPs) han estado, o estaban conectados -y cundo lo han estado-, hasta el momento en que la persona autorizada por el Juez entra al lugar a investigar y toma el control del dispositivo.Si el investigador lo primero que hace es desenchufar, habr eliminado un dato precioso.Pero tambin somos conscientes de que hay que desenchufar en algn momento. Por tanto, la cadena de custodia del router, como dispositivo fsico, de poco servir, o no ser completamente eficaz si simplemente se procede a la desconexin del enrutador, pues tan importantes, o ms, son los datos que ste tena en su memoria, antes de ser desenchufado.En base a lo anterior es por lo que nos atrevemos a decir que, en algunos casos, la cadena de custodia no se aplicar slo al indicio material relacionado con el delito, sino que, a mayores,habra que ampliar esta definicin, de tal forma que cubra y ampare igualmente aquellos datos obtenidos de dispositivos con informacin voltil que hayan sido obtenidos sobre el terreno. Adems, el hecho de que nunca acuda un solo agente al lugar de los hechos permite que los dems asistentes den fe de los datos que se han salvaguardado, cmo se han recuperado y el lugar en el que han sido obtenidos. Una muestra fotogrfica del proceso de captacin de datos y de las diferentes pantallas del router en este caso-, as como de los datos caractersticos de ste (n de serie, modelo, forma fsica del mismo) servirn para relacionar el continente con el contenido.Este dato que aportamos es de suma importancia, a nuestro parecer. En informtica, la cadena de custodia no debe aplicarse slo a aquellos dispositivos que se incautan en un momento dado. Tambin debe aplicarse a aquellos datos que se generan sobre el terreno, de tal forma que tengan plena validez legal, ya sea como sustitucin de una prueba extinguida (la prdida del contenido de una RAM), o como apoyo a una prueba fsica.El Juez (primer y ltimo eslabn de la cadena de custodia, pues es quien manda incautar el elemento objeto de custodia y al que retornan los datos una vez estudiados y procesados) debe permitir que el grupo especializado encargado de incautar y tomar el primer contacto con la prueba, pueda hacer un primer anlisis de campo, sobre aquellos dispositivos en los que, de forma cierta, se sepa que van a perder informacin valiosa, en el momento que sean desconectados de la corriente elctrica.Ya centrados en los elementos que albergan informacin no voltil, pensamos que la cadena de custodia no debe limitarse nicamente a aquellos dispositivos incautados, o a los informes y datos generados en el momento de la incautacin. sta debera aplicarse a todos aquellos dispositivos que, por la razn que fuere, hayan sido duplicados o clonados; siempre y cuando estos dispositivos que almacenan la copia pretendan ser usados comoprueba, como es lgico.Para estas nuevas pruebas, deber crearse una cadena de custodia independiente, que haga referencia a su procedencia, como primer eslabn de la cadena. De esta forma el dispositivo origen siempre estar preservado de terceros, en un lugar seguro, y libre de posibles manipulaciones o destrucciones. En este punto hemos de recalcar que el contenido original de un dispositivo de almacenamiento o el dispositivo mismo-, podra verse alterado en cualquier momento, incluso de forma intencionada, por lo que la posibilidad de trabajar con copias idnticas (y en este caso la prueba informtica tiene una gran ventaja sobre otras pruebas de diferente ndole)aleja el temor de que una prueba pueda ser contaminada. Y en el caso de que esto se produzca por el motivo que sea-, podr volver a clonarse el original por personal especializado designado para tal efecto, permitiendo comenzar de cero, si as fuera preciso.Somos conscientes de que en otros campos de actuacin de la cadena de custodia, el principio de preservacin de la prueba es sumamente importante, pero habra que establecer una serie de matices en la prueba digital. En el caso de la informtica, hay una parte de la prueba que si bien ha de ser custodiada en todo momento-, puede ser duplicada tantas veces como sea preciso (es el caso del contenido de un disco duro, o un lpiz usb, o tarjeta de memoria, etc.), pero para que este duplicado tenga validez jurdica ha de aplicarse esta cadena de custodia al elemento resultante, como si del original se tratase. Sin embargo, y como apuntbamos anteriormente, existe otra parte de la prueba que desaparecer una vez desconectado el dispositivo, por lo queel documento generado tras el trabajo realizado in situ, antes de la desconexin, ser la nica prueba fehaciente de los datos que existan previamente.Es por esto que el documento resultante tendr que ser sometido a cadena de custodia, para garantizar as que los datos obtenidos en ese instante no han tenido una posterior adulteracin.Por tanto, y resumiendo, podramos definir en informtica-, que la cadena de custodia es el protocolo de actuacin relativo a la seguridad y manipulacin que ha de seguirse durante el perodo de vida de una prueba, desde que sta se consigue o se genera, hasta que se destruye o deja de ser necesaria. De este modo nos alejamos (somos conscientes) de otras tesis ms genricas que ahondan en el principio de indestructibilidad, preservacin o necesidad misma de la prueba fsica puesto que, como hemos dicho anteriormente, algunas pruebas cruciales se destruyen en el momento en que se desconecta el dispositivo electrnico, al tiempo que otras podrn duplicarse casi de forma indefinida-, de forma exacta y fidedigna a la prueba original, convirtindose en ese momento en otra prueba vlida independiente, exacta a la de origen.

Perito Informtico ForenseExpertos en seguridad informtica y actualmente los ms demandados, los jueces dictaminan a un perito judicial si el delito existi o no, recaban las evidencias elaboran un dictamen pericial lo presentan al juzgado y lo defienden.Evidencias telemticas.Para asegurar la integridad existen los algoritmos HASH.Perito con un notario, se hace la entrega de los dispositivos.150 peritos informticos en toda Espaa, gente especializada en hardware software sistemas operativos.

2. HERRAMIENTAS DE ANALISIS FORENSE

Las dificultades que se encuentra el investigador a la hora de analizar determinadas evidencias digitales es que los atacantes emplean cada vez herramientas ms sigilosas y perfeccionadas para realizar sus asaltos.

Por lo tanto no estar de ms disponer de un conjunto de herramientas especficas para el anlisis de evidencias.

Dejando aparte el software comercial, en el que podr encontrar herramientas especficas como EnCase de la empresa Guidance Software, considerado un estndar en el anlisis forense de sistemas, nos centraremos en herramientas de cdigo abierto (Open Source) que se pueden descargar libremente de las pginas de los autores.2.1 Autopsy Forensic Browser:Es una herramienta que est basada en lnea de comandos del Sleuth Kit. La unin de estas herramientas las cuales estn instaladas en un servidor utilizando un sistema basado en una plataforma Unix los cuales conformar una completa herramienta forense la solamente necesita de un sistema operativo y un browser para poder hacer uso de la misma. Otro punto destacable es que puede analizarse tanto una computadora con Windows como con Unix ya que soporta sistemas de archivos como NTFS, FAT, UFS1/2 y Ext2/3.

El funcionamiento est basado principalmente en una buena prctica forense basndose en un anlisis muerto y uno vivo. En el caso del muerto se hace la investigacin desde otro sistema operativo y con el sistema en cuestin a investigar sin cargar. Por lo tanto los datos que obtendremos sern referidos a la integridad de los archivos, logs del sistema, la estructura que tienen los ficheros y los elementos que han sido borrados.

En el caso del vivo se analiza el sistema en cuestin cuando ste est en funcionamiento por lo que se analizan ficheros, procesos, memoria, etc. luego de que se confirma que hay evidencia se puede adquirir el sistema a travs de una imagen por lo que se puede realizar a posteriori un anlisis de sistema muerto.Esta herramienta forense puede brindarnos evidencia a travs de:

Listado del archivo: Nos ofrece un anlisis de los archivos, los directorios e incluye los nombres de archivos que se han eliminado.

El contenido de archivos: Nos permite observar el formato raw, hex y/o ASCII. Una vez que se descifran los datos, se procede a desinfectar la autopsia para evitar que los datos se corrompan.

Bases de datos de Hash: Los archivos son catalogados como benignos o malignos para el sistema apoyndose en la biblioteca de referencia del software NIST y las bases de datos que fueron creadas por el usuario.

Clasificacin de tipos de archivo por extensiones: Agrupa los archivos basndose en sus firmas internas para reconocer extensiones conocidas. La autopsia tambin puede extraer solamente imgenes grficas y comparar el tipo de archivo para poder identificar si en los archivos se han modificado las extensiones para ocultarlos.

Lnea de tiempo de la actividad del archivo: Esto es bastante til para poder tener en cuenta que es lo que se ha hecho con el archivo es decir cuando ha sido movido, modificado o incluso borrado. Esto resulta de gran ayuda cuando se tienen muchos archivos y no se sabe bien que es lo que se est buscando debido a que si notamos un gran inters por el usuario sobre un archivo es porque algo tiene que tener de importancia y que puede servir de evidencia.

Bsqueda de palabra clave: a travs de la secuencia de ASCII y expresiones regulares se pueden realizar la bsqueda de palabras que sirvan para encontrar evidencia en la computadora. Esta bsqueda se puede efectuar sobre una imagen completa del sistema de archivos.

Anlisis de los meta datos: Los meta datos tienen la informacin sobre los archivos y directorios. Esta herramienta nos permite tener una visin de los detalles de cualquier estructura de los meta datos de los ficheros. Lo cual es de suma importancia a la hora de recuperar los datos que fueron eliminados.

Detalles de la imagen: Con esta opcin podemos observar con detenimiento los ficheros llegando al punto de poder conocer cul era la ubicacin en el disco y las fechas de actividad.

Gerencia del Caso: Las investigaciones son organizadas por casos, que pueden contener uno o ms anfitriones. Cada anfitrin se configura para tener su propia posicin, ajuste de reloj y de zona horaria de modo que los tiempos examinados sean iguales a los del usuario original. Cada anfitrin puede contener unas o ms imgenes del sistema de ficheros para analizar.

Secuenciador de acontecimientos: Los ataques se pueden obtener desde el log de un IDS. Esta herramienta califica los ataques para poder identificar de manera ms simple como ocurri la secuencia de los ataques.

Notas: Las notas se pueden clasificar en una base de datos organizados por anfitrin y investigador. Esto permite hacer notas rpidas sobre archivos y estructuras.

Integridad de imagen: Es vital corroborar que los datos que estamos analizando no estn corruptos ni han sido modificados para que tengan veracidad las evidencias encontradas.

Informes: La herramienta puede crear los informes para los archivos y otras estructuras del sistema de ficheros.

Registros: Los registros de la intervencin se crean en un caso, un anfitrin, y un nivel del investigador para poder recordar fcilmente las acciones y los comandos ejecutados.

2.2. The Forensic ToolKit

Se trata de una coleccin de herramientas forenses para plataforma Windows, creada por el equipo de Foundstone. Este ToolKit le permite recopilar informacin sobre el ataque, y se compone de una serie aplicaciones en lnea de comandos que permiten generar diversos informes y estadsticas del sistema de archivos a estudiar. Para poder utilizarlos deber disponer de un intrprete de comandos como cmd.exe.

2.3. The Sleuth Kit y Autopsy

Consiste en una coleccin de herramientas forenses para entornos UNIX/Linux, que incluye algunas partes del conocido The Coroners ToolKit (TCT) de Dan Farmer. Puede analizar archivos de datos de evidencias generadas con utilidades de disco como por ejemplo dd.

Incluye funciones como registro de casos separados e investigaciones mltiples, acceso a estructuras de archivos y directorios de bajo nivel y eliminados, genera la lnea temporal de actividad de los archivos (timestamp), permite buscar datos dentro de las imgenes por palabras clave, permite crear notas del investigador e incluso genera informes, etc.

2.4. HELIX CD

Se trata de un Live CD de respuesta ante incidentes, basado en una distribucin Linux denominada Knoppix (que a su vez est basada en Debian).

Posee la mayora de las herramientas necesarias para realizar un anlisis forense tanto de equipos como de imgenes de discos.

2.5. F.I.R.E. Linux

Se trata de otro live CD que ofrece un entorno para respuestas a incidentes y anlisis forense, compuesto por una distribucin Linux a la que se le han aadido una serie de utilidades de seguridad, junto con un interfaz grfico que hace realmente fcil su uso. Al igual que el kit anterior, por su forma de montar los discos no realiza ninguna modificacin sobre los equipos en los que se ejecute, por lo que puede ser utilizado con seguridad.

2.6. Marco Digital Forensics

Marco Digital Forensics es otro popular plataforma dedicada al anlisis forense digital. La herramienta es de cdigo abierto y est bajo licencia GPL. Se puede utilizar ya sea por profesionales o no expertos sin ningn problema. Puede ser utilizado para la cadena de custodia digital, para acceder a los dispositivos remotos o locales, los forenses de Windows o el sistema operativo Linux, la recuperacin de archivos borrados escondido, bsqueda rpida de los metadatos de archivos ', y varias otras cosas.

2.7. X-Ways ForenseX-Ways Forense es una plataforma avanzada para forenses digitales examinadores. Se ejecuta en todas las versiones disponibles de Windows. Pretende no ser muy hambriento de recursos y trabajar de manera eficiente. Si hablamos de las caractersticas, encontrar las caractersticas clave de la lista a continuacin: De imgenes de disco y clonacin Capacidad para leer las estructuras del sistema de archivos dentro de varios archivos de imagen Es compatible con la mayora de los sistemas de archivos, incluyendo FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS / ISO9660 / Joliet, UDF Deteccin automtica de la particin del disco duro borrado o perdido Diversas tcnicas de recuperacin de datos de gran alcance y talla archivo Clculo de hash a granel Visualizacin y edicin de estructuras de datos binarios utilizando plantillas Fcil deteccin de y acceso NTFS ADS Encabezado del archivo Buen mantenimiento El registro automatizado de actividad Autenticidad de datos Gestin completa caso El anlisis de la memoria y la memoria RAM Vista de la galera de fotos Visor interno para el archivo de registro de Windows Informe automatizado de registro Extrae los metadatos de varios tipos de archivos Capacidad para extraer correos electrnicos de diversos clientes de correo electrnico disponibles.

2.8. SANS Investigacin Forense Toolkit SIFTSANS Investigacin Forense Toolkit o SIFT es un sistema operativo forense de usos mltiples, que viene con todas las herramientas necesarias utilizadas en el proceso forense digital. Est construido en Ubuntu con muchas herramientas relacionadas con la informtica forense. A principios de este ao, SIFT 3.0 fue lanzado. Viene de forma gratuita o de carga y contiene de cdigo abierto gratuitos herramientas forenses.

En un post anterior en resource.infosecinstitute.com, que ya cubrimos SIFT en detalle. Usted puede leer los mensajes sobre SIFT para saber ms sobre esta plataforma de anlisis forense digital.

2.9. CAINECAINE (Computer Aided Investigacin del Medio Ambiente) es la distribucin Linux creada para anlisis forense digital. Ofrece un ambiente de integrar herramientas de software existentes como mdulos de software en una manera fcil de usar. Esta herramienta es de cdigo abierto.

2.10. EnCaseEnCase es otra de usos mltiples plataforma forense popular entre muchas herramientas buenas para varias reas del proceso forense digital. Esta herramienta puede recopilar rpidamente datos de varios dispositivos y desenterrar la evidencia potencial. Tambin produce un informe basado en la evidencia.

2.11. Recon RegistroRecon Registro es una herramienta de anlisis de registro popular. Extrae la informacin del Registro de la evidencia y luego vuelve a generar la representacin registro. Se puede reconstruir los registros de ambas instalaciones actuales y anteriores de Windows.

2.12. Oxgeno suite ForenseOxgeno suite forense es un buen software para reunir pruebas de un telfono mvil para apoyar su caso. Esta herramienta ayuda en la recopilacin de informacin del dispositivo (incluyendo fabricante, sistema operativo, nmero de IMEI, nmero de serie), los contactos, los mensajes (correos electrnicos, SMS, MMS), recuperar los mensajes borrados, registros de llamadas y la informacin del calendario. Tambin le permite acceder y analizar datos de dispositivos mviles y documentos. Genera informes fciles de entender para una mejor comprensin.

2.13. XRYXRY es la herramienta de anlisis forense mviles desarrollado por Micro Systemation. Se utiliza para analizar y recuperar informacin crucial desde dispositivos mviles. Esta herramienta viene con un dispositivo de hardware y software. Hardware conecta telfonos mviles para PC y software realiza el anlisis de los datos del dispositivo y de extraccin. Est diseado para recuperar los datos para el anlisis forense.La ltima versin de la herramienta puede recuperar datos de todo tipo de telfonos inteligentes como Android, iPhone y BlackBerry. Rene datos borrados como los registros de llamadas, imgenes, SMS y mensajes de texto.

3.-ESTUDIO DE LAS FASES DE UN ANALISIS FORENSE

Con el anlisis realizado sobre las normas y estndares que existen tanto a nivel nacional como internacional se ha podido ver que hay un conjunto de puntos importantes a tener en cuenta para realizar un anlisis forense exitosamente. Por ejemplo, la mayora recalcan la importancia de preservar el entorno de pruebas, no modificando el escenario encontrado.Tambin aluden a la importancia de cmo se guardan las pruebas, su transporte, conservacin, etctera. Posteriormente se centran en cmo analizar las pruebas para obtener el mximo rendimiento de las mismas y poder esclarecer al mximo los hechos ocurridos. Finalmente, la importancia de unos buenos informes que sean claros, concisos y que sirvan, por ejemplo en caso de juicio, para que una persona no entendida en el tema sea capaz de comprender lo ocurrido y lo que le queremos transmitir sin influir en una posterior decisin.As pues, atendiendo a estas recomendaciones y consejos, ms o menos extendidos en toda la literatura sobre este asunto, parece oportuno dividir en distintas fases la metodologa para un anlisis forense exitoso. Esta ser la estructura del presente captulo. Se analizarn las siguientes fases:

1. Asegurar la escena.2. Identificar y recolectar las evidencias.3. Preservar las evidencias.4. Analizar las evidencias obtenidas.5. Redactar informes sobre los resultados.

En cada una de las fases se darn las mejores recomendaciones y los pasos ms habituales para no cometer ningn error. Obviamente no todos los anlisis forenses se producen ante hechos criminales, y por lo tanto no todos van a acabar en manos de jueces y abogados. Como ya se ha ido indicando el anlisis forense tiene muchas ms finalidades, puede ser simplemente una auditora, reconstruir un sistema daado, un proceso de aprendizaje o la toma de medidas para que no se reproduzca un determinado problema.En todo caso, la finalidad judicial parece ser la ms restrictiva y con la que ms problemas nos podemos encontrar, as pues, ser esta la que presente ms dificultades y con la que se tenga que tener ms prudencia.3.1. 1 FASE: ASEGURAR LA ESCENATal vez esta fase tenga su mxima expresin en casos criminales. No obstante, quizs con menor rigor, es importante en cualquier anlisis forense. Es importante recalcar que el investigador no slo se tiene que centrar en un anlisis tcnico del equipo o equipos implicados en el incidente, tambin debe asegurarse que la escena donde se ha producido el incidente no haya sido alterada, desde el descubrimiento del mismo hasta el inicio de su anlisis. Todos los implicados en la investigacin deben ser conscientes que cualquier acto que lleven a cabo puede comportar unas consecuencias posteriores, as no deben hacer nada que no tengan claro y que pueda alterar los resultados. Lo mejor es trabajar consensuando la actuacin y anotando todo lo realizado en la escena.Es recomendable realizar fotografas del entorno del equipo para evidenciar el estado original de la escena, identificando as el permetro de la escena a analizar y protegindolo de accesos de personal no autorizado.Una vez dentro del permetro de seguridad cabe destacar que hay que proteger las huellas dactilares que pueda haber en los equipos para que los dems cuerpos y unidades de polica e investigadores puedan realizar su tarea. Es por lo tanto recomendable el uso de guantes de ltex o similar para esta finalidad. Hay que anotar la hora y fecha de los equipos implicados que no tiene por qu coincidir con la real, esto es importante para la investigacin posterior y para la realizacin de una lnea temporal con todos los sucesos que han ocurrido. En caso de haber desfase entre la hora del equipo y la real, este desfase se tiene que documentar para tenerlo en cuenta posteriormente. La captura de la hora y fecha se puede realizar fotografiando la pantalla o grabando un vdeo de la misma, siempre y cuando no haya que manipular el equipo para ello.Debemos ver si en pantalla hay algn proceso que nos aporte informacin til sobre lo que est pasando en directo, en ese caso, grabar todo lo que ocurre. Es importante valorar las entradas y salidas de los equipos, pues nos pueden aportar pistas importantes. De igual modo con otros perifricos de entrada/salida, tales como impresoras, telfonos IP, escneres, etctera.Llegados a este punto hay que centrarse sobre la desconexin de los equipos tanto de la red como de la alimentacin elctrica. Estas desconexiones pueden alterar la investigacin y por lo tanto debe documentarse exactamente lo que se ha realizado y lo que lo ha motivado.En cuanto a la desconexin de red, si se realiza, podemos lograr que un determinado hecho siga realizndose, por ejemplo una descarga de datos no autorizada o el borrado remoto de datos que podran dificultar el anlisis. En cambio, perderemos informacin sobre posibles conexiones que nos den el origen del incidente o valiosos indicios.De igual forma, habr que valorar qu repercusiones tendr la desconexin del fluido elctrico. Una desconexin evitar que algn proceso siga escribiendo en disco o incluso eliminando datos, aunque tambin podra provocar alguna escritura de datos en disco si el equipo tiene alguna configuracin programada para fallos elctricos. Tambin se podra haber planificado un borrado de datos en caso de desconexin del equipo y entonces se perdera parte o toda la informacin del equipo dando al traste con la investigacin. As, habr que ser muy cuidadoso con este punto y valorar qu opcin nos es ms til en cada caso, no todas las investigaciones que se hagan se resolvern del mismo modo.Una vez finalizada la primera fase, y con la escena bien asegurada teniendo en cuenta todos los puntos expuestos anteriormente, se podr pasar a la segunda fase de la metodologa. A continuacin nos enfrontaremos a la identificacin y recoleccin de pruebas.3.2 2 FASE: IDENTIFICACIN Y RECOLECCIN DE EVIDENCIASPara un mayor detalle la segunda fase se subdividir en dos apartados, por un lado la parte relativa a la identificacin de las evidencias y por otro lado la parte relativa a la recoleccin de las mismas

3.2.1 Identificacin de las evidencias

Llegados a este punto hay que tener en cuenta una serie de principios acerca de la identificacin de las evidencias y ms especficamente sobre la volatilidad de las mismas. Es vital conocer qu datos son ms o menos voltiles, identificarlos correctamente y posteriormente proceder a su recoleccin.Entendemos por volatilidad de los datos el perodo de tiempo en el que estarn accesibles en el equipo. Por lo tanto, se debern recolectar previamente aquellas pruebas ms voltiles. Segn la RFC 3227, el que se presenta a continuacin, es un posible orden de volatilidad de mayor a menor:

Conocidas las ubicaciones del sistema con mayor y menor volatilidad e identificadas las evidencias que pueda contener habr que valorar hasta qu punto cules son tiles y necesarias y se debern recolectar.En esta fase es muy til documentar ciertos aspectos del sistema y de los dispositivos que se observan en la escena as como aquellos que no se llevarn al laboratorio de anlisis.Se debern listar los equipos y sus caractersticas que estn implicados en los hechos. As mismo tambin se deber hacer un listado con las personas implicadas en los equipos. Ser til recoger su nombre, identificacin, contraseas de los sistemas y acciones que hayan realizado desde el conocimiento del incidente, entre otrasSer til, en caso de varios equipos conectados en red, dibujar la estructura de la misma, es decir, su topologa, con la identificacin de cada equipo en ella. Adems tambin es importante identificar todos los cables y los puertos donde estn conectados los distintos perifricos del equipo para poder realizar una posterior conexin en laboratorio en caso de ser necesario.Los discos duros tambin deben ser identificados correctamente, pues conforman el ncleo duro, en la mayora de los casos, de nuestra investigacin. Esto incluye anotar marca y modelo, nmero de serie, capacidad, posicin de los jumpers y documento grfico que lo pruebe. Lo mismo ocurre con los discos pticos y sus unidades lectoras, como DVD, CD, etctera.

(Detalle etiqueta disco duro)Finalmente, y no menos importante, hay que recalcar unas indicaciones, a caballo entre la identificacin y la recoleccin de las pruebas relacionadas con la privacidad. Hemos repasado en un captulo especial la legislacin legal vigente sobre este aspecto.Es importante considerar las pautas de la empresa en cuanto a privacidad. Se suele solicitar autorizacin por escrito para efectuar la recoleccin de evidencias. Esto es muy importante ya que en ocasiones se pueden manejar datos confidenciales o incluso que la disponibilidad de los servicios quede afectada. Adems, a menos que haya indicios suficientes y fundamentados no se deben recopilar datos de lugares a los que no se accede normalmente, como por ejemplo ficheros con datos personales.3.2.2 Recoleccin de evidenciasTras la correcta identificacin de las evidencias se puede proceder a su recoleccin, para ello se pueden seguir los siguientes pasos:Copia bit a bit de los discos que se quieran analizar, es decir, se requiere una copia exacta del contenido de los discos incautados. Esto incluye todos los archivos del disco, por ejemplo los temporales, los ocultos, los de configuracin, los eliminados y no sobrescritos y la informacin relativa a la parte del disco no asignada, es lo que se conoce como copia a bajo nivel.Esta copia se llevar a cabo sobre un soporte limpio mediante un borrado seguro de los datos que pudiera contener anteriormente para evitar as contaminaciones con otros casos.Una vez realizada la copia se debe verificar la integridad de la misma. Para ello se calcula el hash o CRC de la copia, normalmente los equipos destinados al clonado de discos ya incorporan esa caracterstica. As con el hash del disco original y el de la copia se puede certificar que ambos son idnticos a todos los niveles y ante un juez, por ejemplo, quedar probado que no se ha manipulado de ningn modo. Con este procedimiento tambin nos aseguraremos que no se han producido errores en la copia.Con la primera copia realizada y comprobada procedemos a realizar una segunda copia sobre la primera. En este caso tambin se comprobar que el contenido es idntico mediante el mismo proceso descrito anteriormente. Teniendo ambas copias entregaremos la primera al secretario judicial o notario responsable del caso y nos quedaremos con la segunda para poder trabajar. La segunda copia ser nuestra copia de respaldo en todo momento en el laboratorio y no ser para trabajar directamente con ella en ningn caso.Para realizar el anlisis se deber realizar una tercera copia, comprobar su integridad y trabajar sobre ella, de tal modo que en caso de cualquier desastre o alteracin de los datos siempre tengamos la segunda copia exacta al original de donde poder volver a realizar otra copia para analizar.(Orden de copias para pruebas recolectadas)

Se podra considerar que hasta aqu llega la tarea de campo. La siguiente fase tendr lugar a caballo entre la escena y el laboratorio, es la fase de preservacin de las evidencias. Las siguientes tendrn lugar en el laboratorio de anlisis forense, sern las de anlisis y redaccin de informes.3.3 3 FASE: PRESERVACIN DE LAS EVIDENCIASUna mala preservacin de las evidencias, un mal uso o una mala manipulacin pueden invalidar toda la investigacin que se lleva a cabo delante de un tribunal, este es un factor muy importante que se va repitiendo a lo largo de toda la metodologa.La cadena de custodia es el procedimiento controlado aplicable a las evidencias relacionadas con el suceso, desde el momento en que se encuentran en la escena hasta su anlisis en el laboratorio. La finalidad de la cadena de custodia es evitar cualquier tipo de manipulacin y tener un control absoluto sobre todos los elementos incautados, quin los ha manipulado, cmo lo ha realizado, porqu los ha manipulado, para qu lo ha hecho y cundo ha tenido lugar dicha manipulacin.Es importante realizar todas las anotaciones descritas en la fase de identificacin de las evidencias para que esta fase sea an ms slida. Con todos los elementos documentados ser mucho ms fcil tener un control de todas las evidencias que disponemos y poder realizar una traza de todas las pruebas adquiridas.Mientras los dispositivos estn en el laboratorio y no se estn manipulando es importante tenerlos embalados con etiquetas informativas que contengan al menos datos como un identificador nico para cada elemento, nombre del tcnico responsable del material, la descripcin del mismo. Tambin es relevante el propietario del mismo y en qu lugar fue confiscado, as como fecha y hora del evento. Finalmente se podrn anotar otras observaciones que puedan resultar tiles para los investigadores y que aporten cualquier otro dato.En funcin de la naturaleza de los equipos confiscados habr que tomar una serie de cuidados adicionales. En caso de discos pticos o magnticos, por ejemplo discos duros, CD, cintas de copias de seguridad o similares, estos se debern proteger contra electricidad esttica y se guardarn en bolsas antiestticas para evitar prdida o dao en los datos contenidos. Se proceder de la misma forma con placas electrnicas que pudieren verse afectadas por descargas de electricidad esttica o sean sensibles a la manipulacin.Adems se tendr en cuenta de proteger los bienes para el transporte desde el lugar de los hechos hasta el laboratorio con los medios necesarios para evitar golpes o proteger de cadas fortuitas.El lugar de almacenamiento tambin debe reunir unas mnimas de condiciones de seguridad, no slo de acceso fsico a las evidencias, sino tambin ambientales. No se podrn almacenar dispositivos electrnicos en sitios hmedos o con temperaturas extremas o con exceso de polvo y suciedad.Para la gestin de datos en dispositivos de almacenamiento y su transporte se puede consultar y considerar alguna de las recomendaciones contenidas en la ISO 17799:2005 (44) en su apartado 10.7.La documentacin de la cadena de custodia deber contener tambin todos los lugares por donde ha pasado la evidencia y quin ha realizado su transporte y su acceso.3.4 4 FASE: ANLISIS DE LAS EVIDENCIASLa fase de anlisis no termina hasta que no se puede determinar qu o quin caus el incidente, cmo lo hizo, qu afectacin ha tenido en el sistema, etc. Es decir, es el ncleo duro de la investigacin y tiene que concluir con el mximo de informacin posible para poder proceder a elaborar unos informes con todo el suceso bien documentado.Antes de empezar el anlisis, es importante recordar unas premisas bsicas que todo investigador debe tener presente en el momento de enfrontarse al incidente. Como ya se ha explicado nunca se debe trabajar con datos originales y se debe respetar cada una de las leyes vigentes en la jurisdiccin donde se lleve a cabo la investigacin. Los resultados que se obtengan de todo el proceso han de ser verificables y reproducibles, as que en cualquier momento debemos poder montar un entorno donde reproducir la investigacin y mostrarlo a quin lo requiera. Es importante tambin disponer de una documentacin adicional con informacin de diversa ndole, por ejemplo:Sistema operativo del sistema.Programas instalados en el equipo.Hardware, accesorios y perifricos que forman parte del sistema.Datos relativos a la conectividad del equipo: Si dispone de firewall, ya sea fsico o lgico. Si el equipo se encuentra en zonas de red especiales, por ejemplo, DMZ. Si tiene conexin a Internet o utiliza proxies.Datos generales de configuracin que puedan ser de inters para el investigador para ayudar en la tarea.Para ayudar al desarrollo de esta fase del anlisis forense podemos centrarnos en varias subfases o puntos importantes que generalmente siempre deben realizarse. Cabe recordar que no existe ningn proceso estndar que ayude a la investigacin y habr que estudiar cada caso por separado teniendo en cuentas las diversas particularidades que nos podamos encontrar. No ser lo mismo analizar un equipo con sistema operativo Windows o con Linux.Tampoco ser lo mismo un caso de intrusin en el correo electrnico de alguien o un ataque de denegacin de servicio a una institucin. De igual forma no actuaremos con los mismos pasos en un caso de instalacin de un malware que destruya informacin de una ubicacin de disco o un malware que enve todo lo que se teclea en un equipo. En todo caso, se pueden destacar varios pasos, que habr que adaptar en cada caso: Preparar un entorno de trabajo adaptado a las necesidades del incidente. Reconstruir una lnea temporal con los hechos sucedidos. Determinar qu procedimiento se llev a cabo por parte del atacante. Identificar el autor o autores de los hechos. Evaluar el impacto causado y si es posible la recuperacin del sistema.

3.4.1 Preparar un entorno de trabajo

Antes de empezar el anlisis propiamente, se debe preparar un entorno para dicho anlisis. Es el momento de decidir si se va a hacer un anlisis en caliente o en fro.En caso de un anlisis en caliente se har la investigacin sobre los discos originales, lo que conlleva ciertos riesgos. Hay que tomar la precaucin de poner el disco en modo slo lectura, esta opcin slo est disponible en sistemas operativos Linux pero no en Windows.Si se opta por esta opcin hay que operar con sumo cuidado pues cualquier error puede ser fatal y dar al traste con todo el proceso, invalidando las pruebas.Si se opta por un anlisis en fro, lo ms sencillo es preparar una mquina virtual con el mismo sistema operativo del equipo afectado y montar una imagen del disco. Para ello, previamente habremos creado la imagen a partir de las copias que se hicieron para el anlisis. En este caso podremos trabajar con la imagen, ejecutar archivos y realizar otras tareas sin tanto cuidado, pues siempre cabe la opcin de volver a montar la imagen desde cero en caso de problemas.La opcin del anlisis en fro resulta muy atractiva pues en caso de malwares se podrn ejecutar sin miedo, reproducir lo que ocurre y desmontar la imagen sin que la copia original resulte afectada. De este modo tal vez se pueda ir un poco ms all en la investigacin y ser un poco ms agresiva.Existen varios programas gratuitos para crear y gestionar mquinas virtuales, por ejemplo, Oracle VM VirtualBox (45), que ofrecen muy buenas prestaciones.3.4.2.- Creacin de la lnea temporal

Sea cual sea el tipo de anlisis que se va a llevar a cabo, el primer paso suele ser crear una lnea temporal dnde ubicar los acontecimientos que han tenido lugar en el equipo desde su primera instalacin.Para crear la lnea temporal, lo ms sencillo es referirnos a los tiempos MACD de los archivos, es decir, las fechas de modificacin, acceso, cambio y borrado, en los casos que aplique. Es importante, como ya se ha indicado en alguna ocasin tener en cuenta los husos horarios y que la fecha y hora del sistema no tienen por qu coincidir con los reales. Este dato es muy importante para poder dar crdito a las pruebas y a la investigacin en general.Para empezar, lo mejor es determinar la fecha de instalacin del sistema operativo, para ello se puede buscar en los datos de registro. Adems la mayora de ficheros del sistema compartirn esa fecha. A partir de aqu puede ser interesante ver qu usuarios se crearon al principio, para ver si hay discrepancias o usuarios fuera de lo comn en ltimos instantes del equipo. Para ver esta informacin tambin es til acudir al registro del sistema operativo. Teniendo ya los datos iniciales del sistema, ahora se puede proceder a buscar ms informacin en los ficheros que se ven a simple vista. Lo importante es localizar que programas fueron los ltimos en ser instalados y qu cambios repercutieron en el sistema.Lo ms habitual es que estos programas no se instalen en los lugares habituales, sino que se localicen en rutas poco habituales, por ejemplo en archivos temporales o mezclados con los archivos y libreras del sistema operativo. Aqu se puede ir creando la lnea temporal con esos datos.Alternativamente es til pensar que no todos los archivos estn a la vista. Se puede encontrar informacin en archivos normales, pero tambin en temporales, ocultos, borrados o usando tcnicas como la esteganografa, no se puede obviar ninguna posibilidad.Habitualmente los sistemas operativos ofrecen la opcin de visualizar los archivos ocultos y tambin las extensiones. Es til activar estas opciones para detectar posibles elementos ocultos y extensiones poco habituales que nos resulten extraas.Para los archivos borrados se utilizaran programas especiales capaces de recuperar aquellos datos que se hayan eliminado del disco pero sobre los cuales an no se haya sobrescrito nada. Es posible que el atacante elimine archivos o registros varios en afn de esconder lo que ha ocurrido, si estos no han sido sobrescritos se podrn recuperar y se podrn situar en la lnea temporal relacionndolos con el conjunto de sucesos. Para recuperar informacin oculta mediante esteganografa tambin se debern usar programas concretos. Es posible que el atacante ocultara informacin sobre otros archivos, tales como imgenes o audio para enviarlos posteriormente o tenerlos almacenados sin llamar la atencin. Habitualmente hallaremos ms informacin en ubicaciones ocultas que en los lugares ms habituales.

(Ubicacin de la informacin en el sistema)Con todos estos datos se debera poder crear un esbozo de los puntos clave en el tiempo tales como la instalacin del sistema, el borrado de determinados archivos, la instalacin de los ltimos programas, etctera.3.4.3.-Determinar cmo se actu

Para determinar cmo se actu es importante llevar a cabo una investigacin sobre la memoria del equipo. Es interesante realizar un volcado de memoria para la obtencin de cierta informacin. Con programas destinados a tal fin podremos ver que procesos se estn ejecutando en el momento concreto y tambin aquellos que hayan sido ocultados para no levantar sospechas. Con esta informacin podremos saber qu ejecutables inician los procesos en ejecucin y qu libreras se ven involucradas. Llegados aqu se puede proceder a realizar volcados de los ejecutables y de dichas libreras para poder analizar si contienen cadenas sospechosas o si, por lo contrario, son archivos legtimos. Sabiendo los procesos que se ejecutan y su naturaleza podemos obtener pistas de cmo se actu para comprometer el equipo.A menudo nos debemos fijar en procesos en ejecucin aparentemente inofensivos, habituales y legtimos en los sistemas operativos. No es extrao que determinados procesos con fines malintencionados se camuflen con procesos legtimos. Para ello deberemos observar que muchas veces estos se encuentran sin un proceso padre, cuando lo ms habitual es que dependan de otros. En otras ocasiones simplemente se camuflan con nombres muy parecidos a otros para pasar desapercibidos.

(Captura de process explorer)

Ciertos programas tambin nos darn informacin sobre las cadenas del ejecutable en cuestin. Con ellas podremos ver si mutan su contenido cuando se ejecutan en memoria y cul es su contenido. En ocasiones, cierta informacin de las cadenas nos puede dar pistas muy valiosas, como por ejemplo, cadenas dnde encontrar logs, o enlaces a direcciones de Internet. Tambin nos puede dar pistas sobre el tipo de malware al que nos enfrentamos. Si por ejemplo encontramos cadenas con alfabetos o teclas concretas del teclado, es probable que nos encontremos ante un keylogger.

(Captura de strings de una aplicacin malware)

Finalmente, otra prctica interesante para determinar cmo se actu es leer la secuencia de comandos escrita por consola. Para ello procederemos con el volcado de memoria y podremos obtener dicha informacin. De este modo podremos leer que comandos se hicieron por consola y sabremos si se ejecut algn proceso de este modo. Debemos excluir nuestras propias instrucciones pues seguramente aparecern los comandos del volcado de memoria que se hicieron en su momento.

3.4.4.-Identificacin de autores

Para poder realizar una identificacin del autor o autores del incidente, otra informacin importante que nos puede dar el volcado de memoria son las conexiones de red abiertas y las que estn preparadas para enviar o recibir datos. Con esto podremos relacionar el posible origen del ataque buscando datos como la direccin IP en Internet.Hay que actuar con prudencia puesto que en ocasiones se utilizan tcnicas para distribuir los ataques o falsear la direccin IP. Hay que ser crtico con la informacin que se obtiene y contrastarla correctamente. No siempre se obtendr la respuesta al primer intento y posiblemente en ocasiones sea muy difcil averiguar el origen de un incidente.Es interesante recapacitar en los distintos perfiles de atacantes que se pueden dar hoy da en este mbito para intentar mimetizarse y entender quin pudo ser el autor.Por un lado podemos encontrar organizaciones y criminales que actan por motivaciones econmicas. Su finalidad es robar cierta informacin, ya sea empresarial o personal, para una vez obtenida venderla o sacar un rendimiento oneroso de la informacin.Por otro lado est quin slo busca acceder a sistemas por mero prestigio y reconocimiento en su ambiente ciberntico. Accediendo a sistemas mal configurados y publicando datos que prueben su fechora incrementar su notoriedad y se dar a conocer ms en las redes.En este punto es importante analizar dos vertientes. En caso que se est realizando un peritaje con fines inculpatorios, o sea, judiciales, se deber intentar resolver quin es el autor o al menos aportar pistas fiables para que otros investigadores puedan llevar a cabo otras investigaciones de otros mbitos.En cambio, si es con fines correctivos lo ms interesante seguramente ser obviar esta fase y proceder con el estudio del impacto causado y estudiar las mejoras que se pueden implantar para evitar episodios similares.3.4.5.-Impacto causado

El impacto causado se puede calcular en base a distintos factores y no hay un mtodo nico para su clculo, ni una frmula que nos d un importe econmico. Aun as para estos clculos puede servir ayudarse de mtodos como BIA (Business Impact Analysis) que determinan el impacto de ciertos eventos ayudando a valorar los daos econmicamente.A la larga cualquier incidente ocurrido devengar en unos gastos econmicos que habr que cuantificar en funcin de los tems afectados tras el suceso. En ocasiones el coste econmico resultar de tener que reemplazar una mquina o dispositivo que ha quedado inservible tras un ataque o bien las horas de empleado de tener que reinstalar el sistema. En este caso, el clculo no supone mayor dificultad y se resuelve fcilmente.En otras ocasiones, por ejemplo, los daos pueden deberse al robo de una informacin de secreto industrial en el que habr que cuantificar no slo qu supone reponer el sistema sino, a la larga, en qu se ver afectada la empresa. Los datos robados pueden ser para publicar cierta informacin sobre la empresa y poner en la opinin pblica datos con intenciones de crear mala imagen, lo cual supone un dao incalculable y muy elevado para la empresa.El impacto no slo se puede calcular en base econmica. Como ya se ha comentado al inicio de esta seccin tambin existen otros factores, es el caso del tiempo de inactividad. Si el incidente ha supuesto paralizar la produccin de una planta automatizada de fabricacin esto supone muchas horas en que la produccin es nula, por lo tanto no se trabajar.Evidentemente, a la larga tambin supondr un problema econmico pues no se podrn servir los pedidos pendientes de los clientes. Si la paralizacin afecta a una oficina, tal vez no se pare la produccin de bienes pero s el trabajo de los empleados que vern retrasado todo su trabajo.3.5 5 FASE: REDACCIN DE INFORMES La ltima fase de un anlisis forense queda para redactar los informes que documenten los antecedentes del evento, todo el trabajo realizado, el mtodo seguido y las conclusiones e impacto que se ha derivado de todo el incidente.

Para ello se redactarn dos informes, a saber, el informe tcnico y el ejecutivo. En esencia en ambos informes se explican los mismos hechos pero vara su enfoque y el grado de detalle con que se expone el asunto.

En el informe ejecutivo se usar un lenguaje claro y sin tecnicismos, se debe evitar usar terminologa propia de la ciencia e ingeniera y expresiones confusas para gente no ducha en el tema. Hay que pensar que el pblico lector de estos informes sern jueces y gerentes que seguramente estn poco relacionados con el tema y adems tengan poco tiempo para dedicarle. Se les debe facilitar la tarea al mximo.

En el informe tcnico, por el contrario, el pblico final ser tcnico y con conocimientos de la materia que se expone. Aqu se detallarn todos los procesos, los programas utilizados, las tcnicas, etctera. Debemos crear un documento que pueda servir de gua para repetir todo el proceso que se ha realizado en caso necesario.3.5.1 El informe ejecutivo

Entrando ms en detalle en este tipo de informes, cabe destacar que ser un resumen de toda la tarea que se ha llevado a cabo con las evidencias digitales. Aunque ser un documento de poca extensin, al menos comparado con el informe tcnico, ste deber contener al menos los siguientes apartados:Motivos de la intrusin:Por qu se ha producido el incidente?Qu finalidad tena el atacante?Desarrollo de la intrusin.Cmo lo ha logrado?Qu ha realizado en los sistemas?Resultados del anlisis. Qu ha pasado? Qu daos se han producido o se prevn que se producirn? Es denunciable? Quin es el autor o autores?Qu pasos dar a continuacin? Cmo protegerse para no repetir los hechos?3.5.2 El informe tcnico

El informe tcnico ser ms largo que el anterior y contendr mucho ms detalle. Se har una exposicin muy detallada de todo el anlisis con profundidad en la tecnologa usada y los hallazgos. En este caso se deber redactar, al menos:Antecedentes del incidente.Puesta en situacin de cmo se encontraba la situacin anteriormente al incidente.Recoleccin de datos.Cmo se ha llevado a cabo el proceso?Qu se ha recolectado?Descripcin de la evidencia.Detalles tcnicos de las evidencias recolectadas, su estado, su contenido, etc.Entorno de trabajo del anlisis.Qu herramientas se han usado?Cmo se han usado?Anlisis de las evidencias.Se deber informar del sistema analizado aportando datos como las caractersticas del sistema operativo, las aplicaciones instaladas en el equipo, los servicios en ejecucin, las vulnerabilidades que se han detectado y la metodologa usada.

Descripcin de los resultados.Qu herramientas ha usado el atacante?Qu alcance ha tenido el incidente?Determinar el origen del mismo y como se ha encontrado.Dar la lnea temporal de los hechos ocurridos con todo detalle.Redactar unas conclusiones con las valoraciones que se crean oportunas a la vista de todo el anlisis realizado.Dar unas recomendaciones sobre cmo proteger los equipos para no repetir el incidente o sobre cmo actuar legalmente contra el autor.

4. CASOS PRACTICOS4.1 El Lado del Mal Segn Chema AlonsoLa gente piensa que Los hackers son delincuentes. Pero somos personas que aman la tecnologay algunos nos dedicamos a romper cosas de verdad, afirm. La gente me pide un montn de cosas porque confunde lo que hacemos. Yo me dedico a romper la seguridad de las cosas, pero no quiero romper cosas por hacer dao.Los trabajos que yo he publicado en las conferencias de hackers son las bases de mi doctorado: cmo romper cosas. Y todo esto que hacemos para romper, evidentemente, a mucha gente le afecta.Cada vez que publicamos una tcnica de ataque afecta a todos, pero no lo hacemos por el placer de hacer dao.El problema es que la gente todava confunde por qu se sacan estas herramientas.Todo se puede aplicar para el bien o para el mal.Y cuando nosotros sacamos las herramientas no lo hacemos para el mal.El mundo de las redes sociales no es ms que un trastorno de la sociedad, donde creer ser un amigo virtual y confundir a una persona en sentimientos y actitudes con el perfil, incluso cuando el perfil puede ser manejado por cualquier otra persona; llamado un Catfish.Pero ms all de ello surge la pregunta de todo usuario comn, llamen a los hackers y que con sus herramientas nos ayuden a violar las leyes y reglas para obtener informacin personal y confidencial de mi amigo amiga pareja novio novia etc.

Incluso la de hackear sistemas de base de datos de instituciones pblicas. Imaginar que los hacker lo hicieron as de sencillo como enviar un mail.

Pero el trabajo de un hacker no es fcil. Cuando se publica una vulnerabilidad, la primera respuesta de los responsables de software es no eres responsable porque ests poniendo en riesgo a nuestros clientes, coment. Nuestra respuesta es el que los est poniendo en peligro eres t, porque no has hecho lo que tenas que hacer para proteger a tus clientes. Cuando a alguien le reportan un problema, la ley ahora permite que se denuncie al hacker. Internet es global, pero la legislacin sigue siendo local y es muy difcil determinar qu es legal o no. Los que nos dedicamos a esto estamos siempre en el filo de lo que es legal.Nuestra principal motivacin es el conocimiento. Somos el tipo de gente que de pequeos abren los juguetes. Internet, es una red alucinante, aadi. Pero tambin hay otra cara, el deep web, el internet que va ms all de Google y en el que se pueden encontrar asesinos, se puede comprar casi todo, En muchos casos es una decisin tica, y para muchos de nosotros es una decisin personal. No estoy interesado en dar una opinin en un internet abierto o cerrado, porque estoy interesado en la tcnica.4.2 Proyecto FocaEl pasado mes de marzo, Alonso lanz su ltima herramienta, bautizada comoEvil Foca,capaz de detectar conexiones WiFi falsas que permiten acceder a la informacin de usuarios basndose en la direccin IPv6.Ser capaces de dibujar todo el mapa de red es tan fcil como ir a Google, buscar los archivos ofimticos y extraer de ellos los metadatos, es decir, la informacin que va dentro del documento y que da informacin sobre la plantilla que se est utilizando y que es una ruta al equipo y la carpeta.Con todos esos datos nuestra herramienta es capaz de sacar carpetas, usuarios y servidores de red.Cualquier persona, sin cometer ningn delito, sera capaz de pintar el mapa de red, explic Alonso.FOCA (Fingerprinting Organizations with Collected Archives) es una herramienta utilizada principalmente para encontrar metadatos e informacin oculta en los documentos que examina. Estos documentos pueden estar en pginas web, y con FOCA se pueden descargar y analizar. Los documentos que es capaz de analizar son muy variados, siendo los ms comunes los archivos de Microsoft Office, Open Office, o ficheros PDF, aunque tambin analiza ficheros de Adobe InDesign, o svg por ejemplo.Estos documentos se buscan utilizando tres posibles buscadores que son Google, Bing y Exalead. La suma de los tres buscadores hace que se consigan un gran nmero de documentos. Tambin existe la posibilidad de aadir ficheros locales para extraer la informacin EXIF de archivos grficos, y antes incluso de descargar el fichero se ha realizado un anlisis completo de la informacin descubierta a travs de la URL.Con todos los datos extrados de todos los ficheros, FOCA va a unir la informacin, tratando de reconocer qu documentos han sido creados desde el mismo equipo, y qu servidores y clientes se pueden inferir de ellos.

4.3 Analisis Forense de Metadatos, ejemplos 2003 MS WORD bytes Tony BlairInformacin Oculta en Impresoras

4.4 Informacin Oculta OLE StreamsInformacin GPS en fotos

4.5 Metadatos creados por GoogleTu usuario del FBI

Que ficheros tienen metadatosInformacin que revelan

En los datos,tal y como han publicado en twitter, se puede ver que se ha hecho desde un Microsoft Office 2007, que adems el documento es un re-aprovechado de un documento anterior que se llama"Viaje de Javier Arenas a San Sebastian", y lo ms curioso, que est hecho por un talJavier Vidueria.

4.6 Compartiendo infraestructura Ofimtica

El software de una empresa

He de suponer que la SGAE tiene compradas todas las licencias para todas las instalaciones que realiza de QuarkXPress, o Adobe Acrobat. Pero, sobre todo me ha llamado la atencin de algn software que tradicionalmente la gente supone que es gratuito y no lo es.

Ejemplos de este tipo de software al que me refiero es Snagit o Solid Converter. Ambos tienen versiones de prueba.Snagit tiene una versin de prueba de 30 dasde duracin totalmente funcional pero, despus de esos 30 das, deberan poder publicarse documentos creados con ellos? Vaya por delante que asumo que la SGAE lo tiene comprado.

Solid Converter no te deja trabajar con ella y deja marcas de agua, si no registras el software (o la crackeas) as que hemos de suponer que han comprado tambin Solid Converter. Sera muy feo que los Estatutos de la SGAE, que estn creados con este software, no se hicieran con una licencia comprada. Slo por eso estoy convencido de que es software original y no crackeado.El ltimo que me ha encantado esesta carta escrita por Teddy Bautistas generada con PDFmachine, un softwareque es gratuito (si permites que te ponga publicidad al final del documento)as que hemos de suponer que, puesto que la carta no tiene ninguna publicidad tambin lo tienen comprado.ULeg, partido de Legans, denuncia el amao de como una empresa adjudicataria de un contrato, fue quien supuestamente redact el pliego de condiciones que saco a concurso el Ayuntamiento.

Les han pillado puesel documento que est en la web municipal con el pliego de condiciones, se ha descubierto que el autor es una persona perteneciente a la empresa que finalmente result adjudicatariaal concurso.

Anonymous

Como detener a un comerciante de drogas en lnea

Lo curioso es que, entre los datos, puede encontrarse informacin tan jugosa como la posicin GPS del lugar exacto en el que se tir una fotografa, y este es el caso de hoy:Una fotografa a un alijo de drogas hecha con un telfono iPhone en el que se puede ver la posicin exacta mediante los metadatos Exif reservados para las coordenadas GPS.

Operacin Aurora El ataque de China a GoogleSegn explica Edgar Zamudio, gerente de ingeniero de ventas de McAfee, fue algo similar al cuento del caballo de Troya: el link al que muchos empleados dieron clic provoc que dentro de sus computadoras se instalara un troyano, es decir, un software malicioso que se instal en la mquina del usuario casi en secreto, y que sin avisar,instal un programa que permiti el acceso remoto de un usuario no autorizado (hacker) para copiar la informacin contenida en su computadora.

Qu tiene que ver China y su gobierno en esta historia? El servidor de donde sali el troyano y a donde se comunicaba el software malicioso se localiz en China.Google acusa al gobierno de este pas por no tener las regulaciones suficientes para proteger a las empresasque estn en dicho pas de un ataque de esta magnitud, dice Zamudio.Usando los Metadatos para el mal

Pasajero del Avion Malasya Airline 370 marzo 2014Uno de los periodistas que cubri esta noticia desde el principio, recibi un mensaje con una fotografa que deca supuestamente haba sido enviado por un pasajero de ese vuelo llamadoPhilip Wood, un tcnico de la compaaIBM. El mensaje, supuestamente, dice traducido algo como:"Estoy detenido por personal militar desconocido despus de que el vuelo en el que viajaba fuera secuestrado. Trabajo para IBM y logr esconder mi telfono celular durante el secuestro. Me han separado del resto de los pasajeros, y estoy en una celda oscura. Mi nombre es Philip Wood. Creo que estoy drogado. No puedo pensar con claridad".

La foto negra no muestra nada, pero si se miran losmetadatosde la misma se ve que en la informacinEXIFaparece que ha sido tomada desde uniPhone 5, y trae las coordenadas de una isla con una base militar norte-americana en mitad delOcano ndico.LosmetadatosEXIFse utilizan en servicios derecuperacin de cmaras fotogrficas digitales robadas, como Camera Findery entre otras cosas se hace as por la posibilidad de encontrar dnde est una determinada cmara por su ubicacinGPS. Como se puede ver en la ubicacin que sale en el mapa, la precisin en este caso es muy alta, y no se queda solo en la isla, sino que acierta con un barracn en concreto, lo que podra significar el lugar donde podra llegar a estar encarcelada esta persona.

Asesino descubierto por metadatos de cargar el SmartphoneEl da19 de Abril de 2012, los vecinos de la pareja dijeron or ruido de peleas y gritos, seguidos del sonido del motor de un coche que se iba de la casa por la noche. Los anlisis de los asientos traseros del coche familiar mostraron rastros de sangre de la vctima, as que todos los indicios apuntaban hacia el marido, pero ... las explicaciones de que en el coche de la familia hubiera sangre de su duea podran ser muchas y muy peregrinas, tantas como a un buen abogado se le pudiera ocurrir.

Sin embargo, la coartada del asesinoGerard Baden-Clayera tan sencilla como difcil de rebatir:Eran horas de dormir y yo estaba durmiendo en casa en mi cama.El resto seran indicios y pruebas circunstanciales. Pero... el asesino debi quedarse sin batera y puso a cargar el mvil a las horas en las que l deca que estaba durmiendo cuando se diriga a librarse del cadaver de su esposa. De hecho, para construir una mejor coarta,el asesino escribi mensajes a su mujer asesinadaa la maana siguiente, como para demostrar su desconocimiento de todo.

El anlisis forense del terminal sac esos registros del log de telfono, lo que significaba que su dueo haba hecho un acto manual y consciente de conectar el terminal a una fuente de alimentacin para recargar la batera del terminal. Esto llev a tirar por tierra la coartada de que estaba durmiendo, y por tanto a ser condenado a cadena perpetua por el asesinato de su mujer. Seguridad y Auditara de Sistemas | INFORMATICA FORENSE1