informática forense - wordpress.com · 2012. 8. 16. · disciplina forense que se aplica en la...
TRANSCRIPT
Delincuencia en los Medios Electrónicos Universidad Mundial
INFORMÁTICA FORENSE
DEFINICIÓN
Disciplina forense que se aplica en la búsqueda,
tratamiento, análisis y preservación de indicios
relacionados a una investigación en donde tanto el equipo
de computo, electrónico y/o de comunicaciones han sido
utilizados como fin o medio para realizar una acción
presuntamente delictiva.
OBJETIVO
Auxiliar a la autoridad solicitante en el descubrimiento de
la verdad histórica de los hechos relativos a un presunto
acto delictuoso en donde han sido utilizados equipos y
programas de computo, dispositivos digitales de
almacenamiento de datos y/o equipos electrónicos con la
finalidad de identificar a él o los autores del hecho.
TIPOS DE INTERVENCIÓN
• Identificación de acceso y/o uso no autorizado a
equipos de computo.
• Robo, alteración o copia de información contenida en
equipos de computo.
• Falsificación de documentos mediante equipos de
computo.
• Identificación de fraudes financieros a través de una
red informática.
TIPOS DE INTERVENCIÓN
• Ataques informáticos a servidores web.
• Robo de programas de computo.
• Identificación de correos electrónicos.
• Recuperación de información en dispositivos digitales de almacenamiento.
• Ataques informáticos a redes de computo.
• Identificación y rastreo de correos electrónicos mediante IP.
TIPOS DE INTERVENCIÓN
• Rastreo de servidores web.
• Recuperación de información publicada en internet
mediante fotos, video o escrita.
REQUERIMIENTOS
De manera general, es necesario que el equipo o
dispositivos que serán sometidos a análisis vengan
debidamente identificados en la solicitud por parte de la
autoridad (numero de serie, numero de inventario, marca,
modelo, color, entre otras) y debidamente embalados.
En caso de tratarse de cintas o discos magnéticos deberá
de evitar su exposición a temperaturas extremas,
humedad y elementos abrasivos que puedan dañar los
datos contenidos en los mismos.
REQUERIMIENTOS
Para el caso de localización de servidores de internet y/o
direcciones de correo electrónico, se deberá de escribir
de manera clara el URL (dirección electrónica) o dirección
de correo electrónico y/o dirección IP, en su caso, en la
solicitud.
Para el caso especifico de correos electrónicos, se
deberán enviar las cabeceras originales del correo
electrónico para su análisis en el laboratorio.
FORMA Y REQUISITOS QUE DEBERÁ
CUMPLIR LA SOLICITUD DE INTERVENCIÓN
Informática forense
DESIGNACIÓN
La autoridad ministerial dirigirá la solicitud por escrito al
Director de Servicios Periciales, la cual deberá contener:
• Numero de averiguación previa.
• Numero de oficio de la agencia solicitante.
• Poner la fundamentación legal.
• Especialidad(es) que pide.
• Nombre, cargo y firma de la autoridad solicitante.
DESIGNACIÓN
• Planteamiento del problema: se deberá expresar en
forma clara, precisa y concreta; es decir, que requiere
el Agente del Ministerio Publico que el perito
determine.
• Fechas para la realización de los trabajos de campo en
compañía del Ministerio Publico.
DESIGNACIÓN
Cuando la solicitud se haga vía telefónica o por fax es
indispensable enviar el original a la brevedad posible.
El perito podrá generar, como resultado de cada
intervención pericial, un dictamen o informe, según sea el
caso, mismo que deberá ser remitido a la autoridad
solicitante.
LUGAR DE LOS HECHOS
En el caso de que no sea remitido el dispositivo en
cuestión para su análisis, el perito designado debe
trasladarse al lugar de los hechos, y para ello deberá
llenar el formato de información general del articulo que
será sometido a análisis.
En caso de que sea un equipo sin características
especificadas, se deberá tomar nota, ya que el formato es
solo para fines informativos.
LUGAR DE LOS HECHOS
En el caso de que se llegue a catear un domicilio y haya
equipo de cómputo involucrado, se deben seguir una
serie de pasos:
1. Se debe poseer una orden judicial en el que se
especifique el aseguramiento del sistema informático.
2. Despejar el área asegurándose que nadie tenga
acceso a la computadora o sus alrededores.
LUGAR DE LOS HECHOS
3. Si la computadora se encuentra apagada, NO LA ENCIENDA. Al encenderla pueden activarse sistemas que causarían la destrucción de la información.
4. Si la computadora se encuentra encendida, fotografíe la pantalla.
5. Deshabilite la energía desde su fuente.
6. Deshabilite o desconecte el modem.
7. Desconecte la fuente de la impresora.
LUGAR DE LOS HECHOS
8. Inserte un diskette en la disquetera, un CD de embalaje en la unidad de CD o DVD y cúbralo con cinta de evidencia.
9. Fotografíe las conexiones de todos los equipos.
10. Rotule todas las conexiones de todos los equipos para así poder restablecer la configuración original.
11. Fotografíe todas las conexiones y luego diagrámelas.
12. Fotografíe el área luego de que el gabinete ha sido removido.
LUGAR DE LOS HECHOS
13. Investigue el área en busca de contraseñas u otra
información relacionada.
14. Acopie todos los libros, notas, manuales, software,
diskettes, memorias USB y discos, sistemas de
almacenamiento y todo articulo relacionado al
sistema. Coloque todos los discos en sobres de
material que no conduzca la estática (papel). Realice
un inventario de todo lo asegurado.
LUGAR DE LOS HECHOS
15. Interrogue a todos los sospechosos que puedan tener conocimiento del sistema, información operacional y todo tema relacionado.
16. Transporte la evidencia. NO coloque ningún elemento cerca de fuentes electromagnéticas tales como radios policiales.
17. Transporte la computadora a un lugar seguro.
18. Realice copias de seguridad de todos los canales de bits, discos rígidos y diskettes.
LUGAR DE LOS HECHOS
19. Siempre mantenga presente, las computadoras son
evidencia. La evidencia debe ser preservada en su
estado original. Cuando la información es analizada,
los datos de los archivos pueden cambiar, lo que
puede ser relevante en un proceso judicial. Los
sistemas tradicionales para realizar copias de
seguridad no captan toda la información en un
sistema, y parte de la información puede perderse.
ANÁLISIS
El análisis del equipo involucrado, será de acuerdo al tipo
de necesidad y solicitud del Ministerio Publico.
DICTAMEN O INFORME
Cuando se ha realizado el análisis completo de los equipos electrónicos en cuestión, se procede a realizar el Dictamen o Informe, el cual debe contener:
• Antecedentes
• Problema planteado
• Material utilizado
• Metodología realizada
• Conclusiones