metodologia de computo forense
TRANSCRIPT
-
5/26/2018 Metodologia de Computo Forense
1/134
CONFIDENCIAL
SECRETARA DE MARINA.
CENTRO DE ESTUDIOS SUPERIORES NAVALES.
MAESTRA EN SEGURIDAD DE LA INFORMACIN.
TESIS.
METODOLOGA DE CMPUTO FORENSE PARA LA OBTENCIN DE EVIDENCIAS PARA
LA SECRETARA DE LA DEFENSA NACIONAL.
CAP. 1/o. I.C.E. RENATO MONTELLANO HERNNDEZ.
JUNIO 2010.
-
5/26/2018 Metodologia de Computo Forense
2/134
CONFIDENCIAL 1
SECRETARA DE MARINA
CENTRO DE ESTUDIOS SUPERIORES NAVALES
MEXICO, D.F.
TESIS.
METODOLOGA DE CMPUTO FORENSE PARA LA OBTENCIN DE EVIDENCIAS PARA
LA SECRETARA DE LA DEFENSA NACIONAL.
POR:
CAP. 1/o. I.C.E. RENATO MONTELLANO HERNNDEZ.
El contenido del presente trabajo refleja los puntos de vista de autor, que no necesariamenteapoyan el Alto Mando de la Secretara de la Defensa Nacional, Armada de Mxico o laDireccin del Centro de Estudios Superiores Navales.
_________________________
JUNIO DE 2010.
-
5/26/2018 Metodologia de Computo Forense
3/134
CONFIDENCIAL 2
NDICE.NDICE. ...................................................................................................................................... 2EXTRACTO. ............................................................................................................................... 4INTRODUCCIN. ....................................................................................................................... 5CAPTULO I ................................................................................................................................ 7PROYECTO DE INVESTIGACIN ............................................................................................. 7
Antecedentes .......................................................................................................................... 7
Planteamiento del Problema ................................................................................................. 11
Variables de la Investigacin ................................................................................................. 14
Hiptesis ............................................................................................................................... 14
Objetivos de la Investigacin ................................................................................................. 14
Enfoque, alcance y diseo de la Investigacin. ..................................................................... 15
Importancia, Justificacin y Viabilidad ................................................................................... 15
CAPTULO II ............................................................................................................................. 17MARCO TERICO. .................................................................................................................. 17
Generalidades. ...................................................................................................................... 17
Definiciones Conceptuales y Operacionales.......................................................................... 17
Modelo de Investigacin ........................................................................................................ 20
Poblacin y Muestra. ............................................................................................................. 20
Instrumentos de Medicin. .................................................................................................... 20
CAPTULO III ............................................................................................................................ 21MARCO NORMATIVO APLICABLE. ......................................................................................... 21
Generalidades. ...................................................................................................................... 21
1. Delitos informticos. ....................................................................................................... 23
2. Cadena de custodia. ...................................................................................................... 25
3. Huellas del delito. ........................................................................................................... 264. Aseguramiento del inculpado y cateos. .......................................................................... 26
5. Peritos ............................................................................................................................ 27
6. Medios de prueba. ......................................................................................................... 28
Conclusiones del captulo. ..................................................................................................... 30
CAPTULO IV ........................................................................................................................... 31EL CMPUTO FORENSE. ....................................................................................................... 31
Generalidades. ...................................................................................................................... 31
La criminalstica y el cmputo forense. .................................................................................. 31
El principio de intercambio de Locard en el cmputo forense. ............................................... 32Los principios aplicados por la criminalstica, con el enfoque al cmputo forense. ................ 33
La evidencia electrnica. ....................................................................................................... 33
Modelo en cmputo forense DFRWS y lineamientos del acuerdo nmero A/002/10. ............ 35
Armonizacin de los dos modelos de estudio considerados. ................................................. 36
CAPTULO V ............................................................................................................................ 38METODOLOGA DE CMPUTO FORENSE PARA LA SDN. ................................................... 38
-
5/26/2018 Metodologia de Computo Forense
4/134
CONFIDENCIAL 3
CAPTULO VI ........................................................................................................................... 39ANLISIS E INTERPRETACIN DE RESULTADOS. .............................................................. 39CAPTULO VII .......................................................................................................................... 40CONCLUSIONES, SOLUCIONES Y RECOMENDACIONES. .................................................. 40BIBLIOGRAFA Y LISTA DE REFERENCIAS. .......................................................................... 42
APNDICES Y ANEXOS. ......................................................................................................... 44
APNDICE A ANLISIS DE LA NORMATIVA ACTUAL PARA LA APLICACIN DE UNAMETODOLOGA DE CMPUTO FORENSE PARA LA SECRETARA DE LA DEFENSANACIONAL.............................................................................................................................. 45
APNDICE B DELITOS INFORMTICOS EN MXICO Y LEYES QUE LOS TIPIFICAN...... 51APNDICE C EL CMPUTO FORENSE COMO RAMA DE LA CRIMINALSTICA ............... 52APNDICE D LOS PRINCIPIOS DE LA CRIMINALSTICA CON EL ENFOQUE AL CMPUTOFORENSE............................................................................................................................... 53
APENDICE E METODOLOGA DE CMPUTO FORENSE PARA LA SDN Y DIAGRAMA DEFLUJO GENERAL DE LA METODOLOGA PARA OBTENCIN DE EVIDENCIAS PARA LASDN ........................................................................................................................................ 54
APNDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE
CUSTODIA EN EVIDENCIA DIGITAL..................................................................................... 62APENDICE G ANLISIS E INTERPRETACIN DE RESULTADOS...................................... 75ANEXO A SISTEMA DE DATOS PERSONALES DE LA SDN, REGISTRADOS ANTE ELI.F.A.I. (2008)........................................................................................................................... 80
ANEXO B ESTADSTICA CRIMINAL DEL PERSONAL DE LAS FUERZAS ARMADASELABORADA POR EL PROCURADOR DE JUSTICIA MILITAR AL 4 DE MARZO DE 2009 .. 81
ANEXO C CLASIFICACIN DE LOS DELITOS INFORMTICOS POR MEDIO U OBJETIVODE COMISIN........................................................................................................................ 83
ANEXO D HABILIDADES NECESARIAS PARA UN ESPECIALISTA EN ANLISIS FORENSE................................................................................................................................................. 84
ANEXO E ACONTECIMIENTOS HISTRICOS EN CMPUTO FORENSE.......................... 85ANEXO F PRINCIPIOS INTERNACIONALES EN LA EVIDENCIA DE CMPUTO................. 86
ANEXO G EL PROCEDIMIENTO JURDICO PREVIO........................................................... 88ANEXO H PROCEDIMIENTO PARA EL ASEGURAMIENTO DE LA EVIDENCIA DIGITAL.. 89ANEXO I PROCEDIMIENTO DE RESPUESTA EN VIVO PARA LA RECOLECCIN DEEVIDENCIA VOLTIL............................................................................................................ 102
ANEXO J MODELOS DE INVESTIGACIONES EN CMPUTO FORENSE......................... 104ANEXO K PROCEDIMIENTO PARA EL ANLISIS DE LA EVIDENCIA DIGITAL................ 106ANEXO L RECOMENDACIONES PARA LLEVAR A CABO LA RECOLECCION DEEVIDENCIAS DIGITALES. .................................................................................................... 110
ANEXO M PROCEDIMIENTO PARA LA REALIZACIN DEL REPORTE PERICIAL........... 112ANEXO N EQUIPO BSICO Y HERRAMIENTAS PARA LA INVESTIGACIN DE DELITOSINFORMTICOS................................................................................................................... 113
ANEXO O ARTCULOS ELECTRNICOS QUE INVOLUCRAN LA EVIDENCIA DIGITAL.. 114
ANEXO P QU SE DEBE BUSCAR PARA REALIZAR UN CATEO COMPLETO................ 119ANEXO Q METODOLOGA DE LA CRIMINALSTICA DE CAMPO..................................... 120ANEXO R GUA DE ENTREVISTA PARA LOS SOSPECHOSOS INVOLUCRADOS EN LOSDELITOS INFORMTICOS................................................................................................... 126
ANEXO S DEFINICIONES................................................................................................... 132
-
5/26/2018 Metodologia de Computo Forense
5/134
CONFIDENCIAL 4
EXTRACTO.
El incremento en el uso de las tecnologas de la informacin en las actividades humanas
permite que muchas de estas se realicen con mayor rapidez y facilidad.
Quienes cometen delitos tambin han aprovechado estas bondades tecnolgicas y han
impactado a organizaciones y gobiernos. Estas entidades, preocupados por el impacto que
puedan significar estos ataques para sus activos, han empezado a tomar medidas para
mitigarlos.
La aplicacin de las tcnicas de cmputo forense permiten identificar las actividades
realizadas desde sistemas de cmputo, medios de almacenamiento y otros equipos
electrnicos, con lo cual se pueden llegar a establecer responsabilidades por actividades
delictuosas o contrarias a las leyes; as como responder a preguntas durante una investigacin.
La criminalstica es la que permite establecer y probar delitos cometidos, as como sus
autores y vctimas. Al emplear los principios de esta ciencia en la investigacin de un delito
informtico, se tendr la capacidad de conducirse de manera congruente durante la
investigacin. En particular, la criminalstica aplicada al cmputo forense como un medio de
investigacin, implica la necesidad de que sea realizado por personal capacitado en la materia y
en el marco legal vigente; adems, el resguardo de las evidencias debe estar apegado a las
polticas de los organismos procuradores de justicia y en las buenas prcticas internacionales.
El manejo de evidencia digital es un aspecto fundamental, que necesita de una
metodologa que sea la base y gua del proceder de los expertos, si esto no se establece se
corre el riesgo de no contar con los requerimientos mnimos para el cuidado de estas
evidencias, con lo cual una investigacin puede carecer de validez.
La metodologa planteada se ha desarrollado atendiendo en particular al Cdigo de
Justicia Militar, por ser el ms aplicable a la Secretaria de la Defensa Nacional, pero con una
visin interinstitucional al analizar otra normatividad que es aplicable al Instituto Armado.
-
5/26/2018 Metodologia de Computo Forense
6/134
CONFIDENCIAL 5
INTRODUCCIN.
Ante la amenaza que representan los delitos informticos para la seguridad de la
informacin de las instituciones del gobierno y del sector privado, se estn capacitando
personas y estableciendo los lineamientos para responder ante un evento de este tipo y fincar
responsabilidades por los mismos.
La Secretaria de la Defensa Nacional (SDN), como una organizacin que utiliza
tecnologas de la informacin para el cumplimiento de sus misiones, no est exenta de que se
materialice un ataque contra sus activos informticos.
El desarrollo de este trabajo se bas en los lineamientos emitidos por el Gobierno Federal
en materia de conservacin de evidencias y en cadena de custodia. Tambin se emple el
marco normativo dentro del cual desarrolla sus actividades la SDN, principios de criminalstica y
buenas prcticas internacionales en cmputo forense.
En la hiptesis de este trabajo se establece que: una metodologa de cmputo forense
para la SDN, que cumpla con los requisitos del marco normativo y que incluya procesos y
procedimientos basados en los lineamientos de cadena de custodia vigentes, y que contemple
en su implementacin las buenas prcticas internacionales en materia de evidencia digital,
asegurar la integridad de la evidencia digital durante el proceso legal, para la determinacin de
responsabilidades por actos ilcitos cometidos por medio de tecnologas de la informacin.
El objetivo general de este trabajo es: Plantear una metodologa de cmputo forense para
la SDN, apegada al marco normativo vigente, que conduzca a la obtencin de evidencias
digitales y asegure su integridad, para determinar responsabilidades por actos ilcitos cometidos
por medio de tecnologas de la informacin.
La importancia de este proyecto de investigacin radica en que los delitos informticos
son una amenaza latente a nivel mundial, a nivel nacional y dentro de cada organizacin que
cuente con tecnologas de la informacin. Por esto, las instituciones toman medidas para
anticiparse a estas amenazas (como son la actualizacin del marco regulatorio, la capacitacin
-
5/26/2018 Metodologia de Computo Forense
7/134
CONFIDENCIAL 6
y adquisicin de tecnologas, por mencionar algunos), con el fin de identificar a los responsables
y procurar la seguridad en la informacin. Con base en los lineamientos normativos vigentes,
ste trabajo busca fortalecer los mtodos de investigacin de los delitos informticos para dar
cumplimiento a los objetivos institucionales.
Para esta tesis se adopt un enfoque cualitativo a travs de revisin de materiales
tericos, observacin y anlisis, sin aplicarse la cuantificacin. Su alcance describe las etapas
que conforman una metodologa propuesta. No se llev a cabo experimentacin, pues se bas
en materiales probados a nivel nacional e internacional y, debido a que esta disciplina es
reciente, los datos que se analizaron corresponden a una realidad actual.
En este trabajo se tratan los siguientes captulos: I. Proyecto de investigacin, II. Marco
terico, III. Marco normativo aplicable, IV. El cmputo forense, V. Metodologa de cmputo
forense para la SDN, VI. Anlisis e interpretacin de resultados, VII. Conclusiones, soluciones y
recomendaciones.
-
5/26/2018 Metodologia de Computo Forense
8/134
CONFIDENCIAL 7
CAPTULO I
PROYECTO DE INVESTIGACIN
Metodologa de cmputo forense para la obtencin de evidencias para la Secretara de la
Defensa Nacional (SDN).
Antecedentes
Alrededor de lo que involucra el uso de las Tecnologas de Informacin y la Comunicacin
(TICs), en general, y el desarrollo del cmputo forense en particular se han observado
acontecimientos importantes, de acuerdo con la bibliografa revisada, que se resumen a
continuacin:
A. Los avances y difusin de uso de estas TICs.
B. El funcionamiento de los sistemas de informacin digital.
C. Instituciones que actualmente promueven el cmputo forense en Mxico.
D. Las polticas gubernamentales en materia de Seguridad Nacional.
E. Importancia de las actividades y sensibilidad de la informacin de la SDN.
F. Incidentes de seguridad y fuga de informacin.
G. Personal que efecta el cmputo forense y es responsable de la cadena de custodia.
H. Lineamientos federales en materia de evidencias y cadena de custodia.
A. En la actualidad las TICs sustentan la mayora de las actividades del conocimiento y
del quehacer humano. Sus capacidades de proceso y almacenamiento alcanzan
valores cada vez mayores. Por medio de estas tecnologas se puede procesar y
acceder a prcticamente cualquier tipo de informacin (datos, audio, video, seales de
control).
Con el uso de las tecnologas de la informacin, una gran cantidad de actividades
humanas cambiaron de los entornos fsicos tradicionales a entornos virtuales de
trabajo soportados por sistemas de cmputo. Sobre estos nuevos entornos virtuales
-
5/26/2018 Metodologia de Computo Forense
9/134
CONFIDENCIAL 8
se han presentado abusos por atacantes y delincuentes quienes, valindose de los
beneficios de estas tecnologas, han cometido una amplia gama de ilcitos (Computer
Security Institute, 2008). Estos abusos se han presentado en todo tipo de
organizaciones y stas pueden concretarse en la SDN, ya que estos problemas
radican tanto en el aspecto tecnolgico como en el humano.
B. Para fines de administracin, los sistemas de cmputo estn diseados para que
durante su funcionamiento normal almacenen una gran cantidad de datos que pasan
desapercibidos para el usuario habitual. Estos datos son los registros detallados de
operaciones, mismos que se almacenan en bitcoras, tablas de ruteo, archivos
temporales del sistema y otras ubicaciones, a las que solamente se puede acceder
por medio de herramientas especializadas.
C. Con el fin de poder llevar a cabo el seguimiento y establecer responsabilidades por
ataques y abusos, organizaciones gubernamentales, comerciales y financieras a nivel
internacional, incorporan tcnicas de cmputo forense en sus estructuras
organizacionales. (U.S. Departament of Homeland Security, 2003). En la actualidad, a
nivel nacional, el cmputo forense tiene difusin en universidades y escuelas del
sector pblico y privado, entre otros, UNAM (UNAM-CERT, Congreso de Seguridad en
Cmputo), IPN (Maestra en Ingeniera en Seguridad y Tecnologas de la Informacin
(PNP-Conacyt), Especialidad en Seguridad Informtica y Tecnologas de la
Informacin), Tecnolgico de Monterrey (Diplomado en Seguridad Informtica) y
UNITEC (Maestra en Seguridad de Tecnologa de Informacin). En el pas existen
instituciones privadas que otorgan capacitacin y servicios en la materia, como son:
EC-Council, Ernst&Young, Insys, ALAPSI, IBM Mxico y MaTTica; en lo que respecta
a las Fuerzas Armadas, se cuenta con el CESNAV de la SEMAR (Maestra en
Seguridad de la Informacin) y para instituciones en materia de procuracin de justicia
con el INACIPE (Maestra en Criminalstica).
-
5/26/2018 Metodologia de Computo Forense
10/134
CONFIDENCIAL 9
D. Por otra parte se cuenta con legislacin y normatividad nacional de observancia para
la SDN y que est relacionada con las TICs. Es as como en el artculo 5 de la Ley
de Seguridad Nacional, se enlistan las amenazas que existen contra la Seguridad
Nacional. En la citada Ley se establecen responsabilidades a la SDN y a su titular,
como integrante del Consejo de Seguridad Nacional, en lo referente al manejo de la
informacin, intervencin de comunicaciones privadas y produccin de inteligencia.
(Cmara de Diputados del H. Congreso de la Unin., 2005).
En el Plan Nacional de Desarrollo 2006-2012, se incluye la ejecucin coordinada del
Programa de Seguridad Nacional, en el cual se establecen acciones puntuales y entre
stas se destacan:
Produccin de inteligencia y contrainteligencia activa y pasiva.
Solidez metodolgica en el pensar y el hacer.
Identificacin de fuentes y personas que ataquen a la Seguridad Nacional.
Profesionalizacin, capacitacin y ajuste al marco normativo.
Alineamiento de facultades con responsabilidades.
Trabajo conjunto y coordinado; y
Aprovechamiento de las tecnologas de punta.
E. El Ejrcito y Fuerza Area Mexicanos como Instituciones Armadas del Pas, cumplen
con misiones generales que le son encomendadas las cuales son vitales en la
seguridad del Pas (SDN, 2009.); esto se afirma con su participacin en el Consejo de
Seguridad Nacional y Consejo Nacional de Seguridad Pblica, debido a la sensibilidad
de la informacin que se maneja en el cumplimiento de sus misiones, la divulgacin de
las normas, polticas y lineamientos en materia de seguridad informtica de la SDN,
causara los siguientes daos:
Dao presente.- Al modificarse la informacin, se pueden crear escenarios
catastrficos en seguridad interior y exterior de la federacin, pudindose alterar la
-
5/26/2018 Metodologia de Computo Forense
11/134
CONFIDENCIAL 10
estabilidad social y crear caos en la poblacin, poniendo en grave riesgo la Seguridad
Nacional.
Dao probable1 (riesgo de las operaciones militares).- La publicacin de datos
personales y efectivos del personal militar y derechohabientes2, arriesgara su
integridad fsica, revelara las capacidades del Ejrcito y Fuerza Area Mexicanos,
limitando su eficiencia contra el narcotrfico y delincuencia organizada;
Dao especfico (alteracin de las actividades cotidianas).- Se pueden alterar las
actividades cotidianas, tendientes a mantener la normalidad del funcionamiento de la
SDN (SDN, 2008).
F. De una forma proactiva, en los resultados de la Encuesta de seguridad y crmenes de
cmputo 2008 del CSI, que bien pueden aplicarse a una organizacin como la SDN,
se demuestra que el porcentaje de incidentes de seguridad, atribuida a trabajadores
internos, fue del 25%. Entre los tipos de incidentes de seguridad que presentaron un
alto ndice de recurrencia en el ao 2008 estn los virus informticos, el abuso de
parte de los trabajadores, el fraude o robo de equipos porttiles, el acceso no
autorizado, la instalacin de robots, los fraudes financieros y los ataques al DNS
(Computer Security Institute, 2008). Tambin se presentaron fugas de informacin en
organizaciones pblicas y privadas, debido a que usuarios de los sistemas instalaron y
usaron programas para compartir archivos, exponiendo los datos personales de
clientes y empleados. Esta informacin puede ser utilizada para cometer fraudes o
robo de identidad. (Federal Trade Comission., 2010).
G. Debido al grado de dificultad que representa el cmputo forense y a que los sistemas
de cmputo van aumentado en sus capacidades, el personal que lo realiza debe estar
actualizado en procedimientos, tcnicas y herramientas para poder recolectar,
1Vase ANEXO A SISTEMA DE DATOS PERSONALES DE LA SDN, REGISTRADOS ANTE EL I.F.A.I. (2008).
2Los datos personales estn clasificados como confidenciales, de conformidad con los artculos 3 fraccin II, 18 Fraccin II, 20fracc. VI, 21 y 24 de la Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental.
-
5/26/2018 Metodologia de Computo Forense
12/134
CONFIDENCIAL 11
custodiar, revisar, analizar y presentar adecuadamente los resultados del cmputo
forense (Martnez., 2009).
Para poder llevar las pruebas de un delito ante una corte judicial, la cadena de
custodia es una parte muy importante en la conservacin de la evidencia, en sta se
lleva un registro escrito de las personas que tuvieron el resguardo y acceso a las
mismas, desde su adquisicin inicial hasta su disposicin final. Cada individuo en la
cadena de custodia es responsable de una parte de la evidencia en su manejo,
custodia, y conservacin mientras est bajo su control.
H. En el acuerdo nmero A/002/10 del Procurador General de la Repblica, publicado en
el D.O.F. del 3 de febrero de 2010, se establecen los lineamientos para que los peritos
y dems servidores pblicos preserven y procesen el lugar de los hechos o del
hallazgo y de los indicios, huellas o vestigios del hecho delictuoso, as como
instrumentos, objetos o productos del delito y de esta manera dar cumplimiento al
artculo 123 Bis del CFPP (Procuradura General de la Repblica., 2010).
Planteamiento del Problema
La fuga de la informacin es algo a lo que est expuesto cualquier sistema de
informacin. De acuerdo con el manual de las Naciones Unidas para la prevencin y control de
los delitos informticos, (nmeros 43 y 44), los empleados de una empresa son la mayor
amenaza de una organizacin con el 90% de los incidentes producidos. En el mismo manual, se
indica que el 73% del riesgo a la seguridad de cmputo se atribuye a fuentes internas y solo el
23% a actividades criminales externas (United Nations Crime and Justice Information Network.,
2010).
Los ilcitos han traspasado del aspecto natural conocido al campo de las tecnologas de la
informacin provocando, entre otros daos, la prdida y robo de informacin, denegacin del
servicio (DoS) y fraudes, los cuales han ocasionado daos fsicos, morales y econmicos a
personas, organizaciones y gobiernos. (l. Volonino, 2007).
-
5/26/2018 Metodologia de Computo Forense
13/134
CONFIDENCIAL 12
La SDN actualmente se encuentra conformada por un efectivo de 202,355 elementos,
mismos que para efectuar sus trabajos y el cumplimiento de sus misiones se auxilian de equipo
de cmputo, el cual est conformado aproximadamente por un total de 9,878 computadoras
personales, 119 computadoras porttiles y 128 servidores.
Con el fin de mantener una relacin informativa con la sociedad, la SDN cuenta con un
portal de internet, por medio del cual acceden aproximadamente 4,600 usuarios diariamente; sin
embargo, del 1 de diciembre de 2006 al 10 de noviembre de 2009, se presentaron ataques
cibernticos, intrusiones maliciosas e intentos de hackeo, contra este portal los cuales fueron
bloqueados por la infraestructura de seguridad y no fueron exitosos. Tambin se detectaron
brotes de virus informticos que afectaron reas administrativas, los cuales fueron controlados
inmediatamente, entre estos virus estn: mexica, tarntula, kof, music, usr, usb y clean (SDN,
2009).
En el periodo del 1 de enero del 2007 al 1 de junio del 2008, se tienen registrados
aproximadamente 1,000,000 de intentos de ataques al portal mencionado, siendo estos de los
siguientes tipos: esnifeo, escaneo de puertos, introduccin de cdigo malicioso, lectura de
archivo de contraseas, envo de pings, ejecucin de cdigo remoto y acceso de aplicaciones
restringidas. Estos intentos no fructificaron y afortunadamente no se presentaron daos. (SDN,
2008).
Por lo que respecta a delitos informticos cometidos por personal perteneciente a las
Fuerzas Armadas, de un total de 3150 delitos cometidos, la Procuradura General de Justicia
Militar, proces dos casos por acceso ilcito a sistemas y equipos de informtica. De igual
manera, se procesaron cinco contra el honor militar; uno por ejercicio indebido de servidor
pblico, tres por fraude, tres por falsificacin de documentacin, siete por malversacin y tres
-
5/26/2018 Metodologia de Computo Forense
14/134
CONFIDENCIAL 13
por uso de documentos falsos, mismos que para su comisin pudieran estar soportados por
tecnologas de la informacin3.
Actualmente, entre las funciones que tiene a cargo la Direccin General de Informtica de
la SDN, est el proporcionar apoyos en peritajes y auditoras en delitos informticos (SDN,
2009), que se llevan a cabo con base en buenas prcticas internacionales y herramientas para
la obtencin de registros y la recuperacin de la informacin para el anlisis de los datos. Estas
actividades son realizadas para comprobar delitos cometidos por medio de equipos de cmputo
al interior de la SDN o en apoyo a otras instituciones. Sin embargo, en la Seccin de Seguridad
Informtica perteneciente a la citada Direccin no se cuenta con una metodologa formal para
llevar a cabo el cmputo forense.
Tenindose como antecedentes lo anteriormente expuesto, y que en la Institucin no se
ha formalizado una metodologa para obtencin de evidencias de sistemas de cmputo; se
plantea la problemtica de que en la SDN, debe establecerse formalmente una metodologa de
cmputo forense para la obtencin de evidencias, que cumpla con el marco regulatorio y
disposiciones legales para las operaciones militares y de Seguridad Nacional, con la cual se
obtengan los registros y datos de sistemas informticos involucrados en delitos informticos o
incidentes de seguridad; que mantenga las garantas de la evidencia obtenida y que a su vez se
incluyan los perfiles del personal destinado al cmputo forense. Por lo cual se plantea la
siguiente pregunta de investigacin:
Cules son los procesos y procedimientos que deben integrarse en una metodologa de
cmputo forense para la SDN, para que sta cumpla con el marco normativo y los lineamientos
en materia de cadena de custodia vigentes, que coadyuven a resguardar la integridad de las
evidencias digitales recolectadas y su validez legal para la posterior determinacin de
responsabilidades por actos ilcitos cometidos por medio de tecnologas de la informacin ante
una corte o instancia administrativa?
3ANEXO B ESTADSTICA CRIMINAL DEL PERSONAL DE LAS FUERZAS ARMADAS ELABORADA POR EL PROCURADORDE JUSTICIA MILITAR AL 4 DE MARZO DE 2009.
-
5/26/2018 Metodologia de Computo Forense
15/134
CONFIDENCIAL 14
Variables de la Investigacin
Variable dependiente:Metodologa de cmputo forense para la SDN.
Variable independiente: delitos informticos, marco normativo y cadena de custodia,
procesos y perfil profesional del personal.
Hiptesis
Una metodologa de cmputo forense para la SDN que cumpla con los requisitos del
marco normativo y que incluya procesos y procedimientos basados en los lineamientos de
cadena de custodia vigentes, y que contemple en su implementacin las buenas prcticas
internacionales en materia de evidencia digital, codyuvar a preservar la integridad de la
evidencia digital durante el proceso legal, para la posterior determinacin de responsabilidades
por actos ilcitos cometidos por medio de tecnologas de la informacin.
Objetivos de la Investigacin
Objet ivo General:
Plantear4una metodologa de cmputo forense para la SDN, apegada al marco normativo
vigente, que conduzca a la obtencin de evidencias digitales, el anlisis y que asegure su
integridad, para determinar responsabilidades por actos ilcitos cometidos por medio de
tecnologas de la informacin.
Objeti vo s Especfic os
Analizar el marco normativo aplicable para el establecimiento de una metodologa
de cmputo forense para la SDN, las disposiciones vigentes en materia de cadena
de custodia y los tipos de delitos cometidos por medio de las tecnologas de la
informacin que estn penalizados en el Pas.
4 Dentro de la categora de la TAXONOMA DE BLOOM DE HABILIDADES DE PENSAMIENTO, este verbo pertenece a la
categora de sntesis, en la cual se busca juntar o unir, partes o fragmentos de conocimiento para formar un todo y construirrelaciones para situaciones nuevas. La definicin para este verbo es:
Establecer o poner en ejecucin un sistema, una institucin, una reforma, etc. Enfocar la solucin de un problema, llguese o no a obtenerla. Proponer, suscitar o exponer un problema matemtico, un tema, una dificultad o una duda.
Los verbos utilizados en los objetivos especficos presentados, pertenecen a categoras de habilidades de pensamiento anteriores ala de sntesis, estas son: anlisis, comprensin, comprensin y aplicacin, respectivamente.
-
5/26/2018 Metodologia de Computo Forense
16/134
CONFIDENCIAL 15
Distinguir los perfiles del personal dedicado al cmputo forense.
Proponer los procesos y procedimientos para la aplicacin de la metodologa, con
base en buenas prcticas internacionales y la normativa nacional en materia de
preservacin de evidencias.
Ilustrar en un modelo de flujo los procesos y las fases de la metodologa.
Enfoque, alcance y diseo de la Investigacin.
Para sta tesis se adopta un enfoque cualitativo a travs de la revisin de materiales
tericos, observacin, anlisis, modos de implementar y operar, sin aplicarse la cuantificacin.
El alcance ser descriptivo, teniendo como resultado del anlisis, las especificaciones
importantes de una metodologa.
El diseo de la investigacin es no experimental, no se construirn situaciones, sino que
se observarn situaciones ya existentes.
Por ltimo, la observacin es transversal, ya que los datos que se analizarn
corresponden al momento actual, describiendo las variables y su interrelacin, debido a que el
cmputo forense es una disciplina de reciente implementacin.
Importancia, Justificacin y Viabilidad
Dentro del marco en el que actualmente desarrolla sus actividades la SDN, muchas de
sus actividades estn soportadas por tecnologas de la informacin, el escenario actual no es el
mismo de hace 10 aos y con seguridad esto cambiar con los avances de la tecnologa. Los
avances tecnolgicos se dan da a da, por lo cual se establecen polticas para poder garantizar
los activos de las organizaciones, se capacita al personal; sin embargo, los delitos y los abusos
en las tecnologas de la informacin siguen cometindose, es aqu donde se comprende la
importancia de contar con una metodologa para la prosecucin de los delitos informticos.
Los ataques a la infraestructura informtica de la SDN son registrados en cantidades
sorprendentes, aunque a la fecha no han tenido xito se corre el riesgo de que al final sean
vulnerados. Ninguna organizacin en la actualidad puede garantizar que el personal con el que
-
5/26/2018 Metodologia de Computo Forense
17/134
CONFIDENCIAL 16
cuenta no ocasionar algn dao a los activos de su informacin, pero la actuacin contra estos
delincuentes debe ser apegada a derecho y basada en lineamientos metodolgicos, pues de no
ser as, se puede caer en el error de desviarse de la legalidad y hacer inefectiva una
investigacin. Por lo que, es conveniente contar con esta gua que nos de direccin en el cmo
actuar cuando una situacin, como las antes mencionadas, se presente.
En la medida en que la seguridad cubra los activos informticos de la SDN, sus misiones
y actividades estarn seguras. Sin olvidar que, por ser una institucin involucrada en la
Seguridad Nacional y por las misiones que tiene a su cargo la SDN, su actuacin beneficia a la
sociedad mexicana en su totalidad.
En la prctica, sta metodologa es una serie de pasos ordenados y estos proporcionan
una directriz para llevar a cabo el cmputo forense. Pero, esta puede ser perfeccionada a travs
de su aplicacin. Esta metodologa es pues, una propuesta para obtener mejores resultados, y
puede ser la base de futuras investigaciones en el campo del cmputo forense.
Tambin se busca hacer difusin a los conceptos y etapas del cmputo forense,
constituyendo una base para el proceder en esta disciplina. El proyecto de investigacin es
100% viable de materializar, ya que se cuenta con la informacin y materiales necesarios para
llevarlo a cabo.
-
5/26/2018 Metodologia de Computo Forense
18/134
CONFIDENCIAL 17
CAPTULO II
MARCO TERICO.
Generalidades.
Para el desarrollo del presente trabajo se tomaron como referencias fundamentales las
siguientes obras:
Mapa de Investigacin Forense Digital5(DFRWS).
Manual Bsico de Cateo y Aseguramiento de Evidencia Digital6.
Acuerdo nmero A/002/107 de 3 de febrero del 2010, publicado en el D.O.F., por la P.G.R.
Gua para integrar tcnicas forenses en la respuesta a incidentes8(NIST 800-86).
Gua para la respuesta inmediata en cmputo forense9.
Los documentos anteriores fueron revisados y entre otros temas, se encontraron
contenidos que nos permiten establecer lineamientos en cuanto a cadena de custodia, mejores
prcticas, recomendaciones, guas, definiciones y lineamientos en materia de seguridad.
Definiciones Conceptuales y Operacionales.
En el desarrollo del presente trabajo se utilizarn las siguientes definiciones:
Conceptuales:
Secretara de la Defensa Nacional.- Es una dependencia de la Administracin Pblica
Federal, tiene a su cargo el despacho de los asuntos que expresamente le confieren la Ley
Orgnica de la Administracin Pblica Federal y otras leyes, y los reglamentos, decretos,
acuerdos y rdenes del Presidente de la Repblica. (SDN, 2008).
5El Digital Forensic Research Workshop se dedica a compartir conocimiento e ideas acerca de la investigacin forense digital.Desde que se organiz el primer taller abierto forense digital en 2001, DFRWS contina integrando acadmicos y profesionalesen un ambiente informal. Como una organizacin de voluntarios sin fines de lucro, DFRWS patrocina conferencias anuales,
grupos de trabajo tcnicos y los retos para ayudar a impulsar la direccin de la investigacin y el desarrollo.6En este manual se plantea una forma para llevar a cabo procedimientos en un cateo. El autor es el Doctor Gabriel Andrs Campoli,Conferencista del Instituto Nacional de Ciencias Penales (INACIPE).
7En este acuerdo, emitido por el titular de la PGR, se establecen los lineamientos para que los servidores pblicos lleven a cabo lapreservacin y procesamiento en el lugar de los hechos e indicios, huellas o vestigios del hecho(s) delictuoso(s), as como de losinstrumentos, objetos o productos del delito.
8El Instituto Nacional de Estndares y Tecnologa (NIST, USA) es una agencia para la regulacin del Departamento de Comercio deUSA y su misin es promover la competitividad industrial en el avance de la ciencia, estndares y tecnologa para mejorar laseguridad econmica y la calidad de vida.
9El Instituto de Ingeniera de Software Carnegie Mellon (USA) trabaja con el gobierno, el DoD, la industria y con organizacionesacadmicas, con el fin de mejorar continuamente el software de cmputo y los sistemas basados en software.
-
5/26/2018 Metodologia de Computo Forense
19/134
CONFIDENCIAL 18
Metodologa: 1. f. Ciencia del mtodo. 2. f. Conjunto de mtodos que se siguen en una
investigacin cientfica o en una exposicin doctrinal. (Diccionario de la Real Academia
Espaola, 2010).
Cmputo forense: Serie metodolgica de procedimientos y tcnicas para obtener
evidencias de equipos de cmputo y medios de almacenamiento, los cuales son aplicados
cuando se investiga sobre crmenes cometidos por medio de tecnologas de la informacin,
para obtener las evidencias que puedan ser pruebas de acciones ilegales ante las autoridades
competentes. (EC-Council).
Evidencia o indicio: Son las huellas, vestigios y dems elementos materiales del hecho
delictuoso, que puedan encontrarse en el lugar de los hechos y/o lugar del hallazgo y que por
sus caractersticas existe la probabilidad de que tenga alguna relacin con la comisin del delito
que se investiga(Procuradura General de la Repblica., 2010).
Cadena de custodia: El procedimiento de control que se aplica al indicio material, ya sea
vestigio, huella, medio de comisin, objeto material o producto relacionado con el delito, desde
su localizacin por parte de una autoridad, polica o Agente del Ministerio Pblico, hasta que la
autoridad competente ordene su conclusin, segn se trate de la averiguacin previa o el
proceso penal.(Procuradura General de la Repblica., 2010)
Delito informtico: Toda conducta tpica, antijurdica y dolosa que utilice como medio
comisivo o como fin un sistema de procesamiento de informacin digital, o que involucre al
mismo como instrumento de almacenamiento de pruebas (Navarro Isla, 2005)
Registro de Cadena de Custodia (RCC).- Es el formato o formatos en el que se asentarn
nombres y firmas de los servidores pblicos y dems personas que de manera sucesiva
intervengan en la Cadena de Custodia, desde su inicio hasta su final, as como la descripcin
de los bienes, caractersticas de los mismos, lugar de los hechos y/o del hallazgo y dems
relativos y relevantes para la averiguacin previa (Procuradura General de la Repblica., 2010)
-
5/26/2018 Metodologia de Computo Forense
20/134
CONFIDENCIAL 19
Marco normativo: Legislacin y lineamientos derivados de la Constitucin Poltica de los
Estados Unidos Mexicanos, que debern observarse al plantear la implementacin, ejecucin y
la entrega de la informacin en un anlisis de cmputo forense.
Perfil profesional: Son las capacidades y reas de competencia del personal
perteneciente a la SDN para llevar a cabo las funciones y tareas en materia de cmputo
forense, asumiendo las responsabilidades que esto conlleva.
Operacionales:
Secretara de la Defensa Nacional.- Se emplear el marco normativo que rige a la
Secretara en el cumplimiento de sus actividades como mtrica para el cumplimiento legal. Se
analizarn las garantas requeridas de acuerdo con su reglamentacin vigente.
Metodologa: Para determinar la factibilidad de una metodologa o algn procedimiento de
esta se emplearan mtricas cualitativas con base a tablas de cumplimiento, procedimientos,
aspectos legales, perfil del personal, cumplimiento de buenas prcticas y recomendaciones
internacionales.
Evidencia o indicio: Se verificar en su recopilacin que se mantenga la integridad de las
mismas a travs de los lineamientos establecidos por la PGR
Delito informtico: Se analizar el marco normativo para tener el conocimiento de los tipos
de delitos del orden federal y en el mbito militar.
Registro de Cadena de Custodia (RCC): El registro de la cadena de custodia se verificar
de acuerdo a los lineamientos establecidos por la PGR y en lo referente a la evidencia digital, a
las buenas prcticas internacionales.
Marco normativo: Se verificarn los lineamientos aplicables a la SDN en materia de
cmputo forense.
Perfil profesional: Se establecern capacidades del personal dedicado al cmputo
forense, mediante la investigacin de perfiles de profesionales en la materia.
-
5/26/2018 Metodologia de Computo Forense
21/134
CONFIDENCIAL 20
Modelo de Investigacin
Para el desarrollo del presente trabajo se defini el siguiente modelo conceptual:
Requerimientos
legales
Cadena deCustodia
DelitosInformticos en
Mxico.
Huellas del delito
Aseguramiento delinculpado y
cateos.
Peritos.
Medios de Prueba
Marco normativoaplicable
Establecimiento
de los procesos
de la
metodologa
La evidenciaelectrnica.
Principios decriminalstica y de
Locard.
MetodologaDFRWS
Acuerdo A/002/10de la PGR.
El cmputoforense.
La criminalstica yel cmputo
forense.
Metodologa de
cmputo forense
para la SDN
Procesos.
Documentacin.
Procesos legalesen evidencias
vigentes.
Buenas prcticasinternacionales.
Aspectos legalesmilitares.
Procedimientos.
Figura 1. Modelo de investigacin.
Mediante el anlisis del marco normativo, las disposiciones en materia de cadena de
custodia, los principios de la criminalstica y la revisin de los delitos informticos, se
propondrn los requerimientos generales de la metodologa de cmputo forense (MCF).
Posterior a esta fase, mediante un anlisis de las buenas prcticas internacionales en evidencia
digital y pasos metodolgicos; se formular la propuesta de procesos y procedimientos, se
sintetizarn las fases de la MCF en un modelo. Finalmente se propone la MCF para la SDN.
Poblacin y Muestra.
Dentro de la poblacin se consideran las guas para llevar a cabo el cmputo forense y de
esta se seleccionarn como muestra cuatro guas10, para analizar sus ventajas, desventajas,
cumplimiento, factibilidad, alcances y la adecuacin de las mismas a la Institucin.
Instrumentos de Medicin.
Con el fin de obtener informacin de las variables, en este proyecto se emplearn:
cuadros comparativos para las guas de cmputo forense, leyes y disposiciones en materia de
evidencia y tablas correlacin de cumplimiento y componentes.
10Mapa de Investigacin Forense Digital (DFRWS), NIST 800-86, Gua para la respuesta inmediata en cmputo forense y ManualBsico de Cateo y Aseguramiento de Evidencia Digital.
-
5/26/2018 Metodologia de Computo Forense
22/134
CONFIDENCIAL 21
CAPTULO III
MARCO NORMATIVO APLICABLE.
Generalidades.
En este captulo se abordar la temtica normativa con el fin de identificar el marco
aplicable para el establecimiento de una metodologa de cmputo forense en la SDN. Para el
desarrollo de este captulo, se tomaron en consideracin disposiciones contenidas en los
siguientes documentos normativos:
Constitucin Poltica de los Estados Unidos Mexicanos (CPEUM).
Cdigo Penal Federal (CPF).
Cdigo Federal de Procedimientos Penales (CFPP).
Cdigo Federal de Procedimientos Civiles (CFPC).
Cdigo de Comercio (CC).
Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental
(LFTAIPG).
Ley de Seguridad Nacional (LSN).
Ley General del Sistema Nacional de Seguridad Pblica (LGSNSP). Ley del Mercado de Valores (LMV).
Legislacin Militar (LM).
Ley Federal de Derechos de Autor (LFDA).
Reglamento para la Coordinacin de Acciones Ejecutivas en Materia de Seguridad
Nacional (RCAEMSN).
Plan Nacional de Desarrollo 2007-2012 (PND).
Programa de Seguridad Nacional (PSN).
Programa Sectorial de Defensa Nacional 2007-2012 (PSDN).
Como resultado del anlisis del marco normativo, se puede establecer que:
-
5/26/2018 Metodologia de Computo Forense
23/134
CONFIDENCIAL 22
1. En toda accin que realicen las Fuerzas Armadas, es prioritario respetar las garantas
constitucionales, como son vida privada y los datos personales de los ciudadanos
(CPEUM).
2. Para poder garantizar la seguridad interior y defensa exterior de nuestro Pas, las
Fuerzas Armadas deben contar con herramientas tecnolgicas que permitan hacer
una investigacin completa en tecnologas de la informacin (LSN).
3. En nuestras leyes se incluyen los delitos informticos, modalidades y penas (CPF).
4. En el CFPP se establecen los lineamientos y responsabilidades para llevar a cabo una
investigacin, si las pruebas aportadas no se apegan a lo establecido, toda la
investigacin pueden carecer de validez, de aqu se establece que una metodologa
de cmputo forense debe estar apegada a estos lineamientos.
5. La LSN enlista las amenazas a la Seguridad Nacional y decreta responsabilidades en
el manejo de la informacin, intervencin de comunicaciones privadas y produccin de
inteligencia. Para lo cual se autoriza recabar, compilar, procesar y diseminar
informacin con fines de Seguridad Nacional y se otorga autonoma tcnica para
hacer uso de cualquier mtodo de recoleccin de informacin.
6. En la LGSNSP se otorgan atribuciones para que el titular de la SDN establezca los
instrumentos y polticas para cumplir los objetivos y fines de la Seguridad Pblica.
7. En la LFDA se dispone la proteccin de las obras pertenecientes al patrimonio
nacional, as como de autores nacionales y extranjeros. Para dar cumplimiento a esta
disposicin, en el PSDN, se contempla la proteccin la propiedad intelectual de
software, con mecanismos de seguridad11.
Dentro del marco normativo, en la prosecucin de los delitos informticos, es importante
definir algunos trminos y actores que participan en estos procedimientos, estos son:
11Ver APNDICE A ANLISIS DE LA NORMATIVA ACTUAL PARA LA APLICACIN DE UNA METODOLOGA DE CMPUTO
FORENSE PARA LA SDN.
-
5/26/2018 Metodologia de Computo Forense
24/134
CONFIDENCIAL 23
1. Delitos informticos.
2. Cadena de custodia.
3. Huellas del delito.
4. Aseguramiento del inculpado y cateos.
5. Peritos.
6. Medios de prueba.
1. Delitos informticos.
Las formas de cometer crmenes han evolucionando a la par del desarrollo tecnolgico,
los mecanismos empleados por delincuentes informticos se han convertido en negocios y
buscan obtener ventajas a travs de diferentes actividades ilegales, su vctima final es la
informacin de los usuarios y la economa e imagen de compaas u organizaciones (ESET
Latinoamrica., 2010). En la comisin de delitos informticos, como su nombre lo indica, se
involucra un sistema informtico como el medio, instrumento o mtodo de comisin, o siendo
este el objetivo del delito, por lo que los delitos se pueden clasificar en estas dos categoras12
En nuestro pas los delitos informticos estn tipificados en el CPF, titulo noveno
Revelacin de secretos y acceso ilcito a sistemas y equipos de informtica. En estos artculos
se establecen modalidades y las penas para delitos cometidos en un sistema de cmputo. Por
lo que respecta a la LM vigente, es importante anotar que en el Cdigo de Justicia Militar se
especifican las penas en lo que respecta a la falsificacin, fraude, la revelacin de informacin
militar reservada, el parte falso, ocultar la verdad, el expedir, certificar y presentar
documentacin falsa; la sustraccin, destruccin y ocultamiento de expedientes, documentos o
parte de ellos, se mencionan estos delitos porque es factible involucrar sistemas informticos en
la comisin de los mismos. En la misma legislacin, pero en el RGDM se advierte de
consecuencias a los militares, para evitar que sean cmplices de delitos contra los intereses de
la Patria o del Ejrcito.
12VerANEXO C CLASIFICACIN DE LOS DELITOS INFORMTICOS POR MEDIO U OBJETIVO DE COMISIN.
-
5/26/2018 Metodologia de Computo Forense
25/134
CONFIDENCIAL 24
Los principales delitos en que se involucran sistemas de informacin, tipificados en la ley
penal federal, son los siguientes13(Navarro Isla, 2005):
A. Delitos en vas generales de comunicacin.
B. Delitos por el Acceso Ilcito a Sistemas y Equipos de Informtica.
C. Ciberterrorismo y lavado de dinero.
D. Spam.
E. Delitos en materia de Propiedad Intelectual e Industrial.
F. Pornografa Infantil.
G. Delitos en materia de datos personales.
En el panorama normativo actual, los delitos cometidos desde sistemas de cmputo
pueden ser comprobados y llevados a juicio, pero el proceso no es sencillo; sin embargo, se
cuenta con leyes que tipifican estos delitos y, en particular, al interior de la organizacin, con la
legislacin militar para establecer responsabilidades en el caso que se presente una
investigacin de este tipo.
El delito informtico, segn el Licenciado Jorge Navarro Isla, Consultor para la
Conferencia de las Naciones Unidas en Comercio y Desarrollo (UNCTAD) y catedrtico del
CESNAV, es: Toda conducta tpica, antijurdica y dolosa que utilice como medio comisivo o
como fin un sistema de procesamiento de informacin digital, o que involucre al mismo como
instrumento de almacenamiento de pruebas(Navarro Isla, 2005).
Los delitos informticos presentan caractersticas que los distinguen de formas
tradicionales de cometer delitos (Valds Tllez., 2009):
A. Son ocupacionales, muchas veces se comenten en el trabajo.
B. Son de oportunidad, se aprovecha la ocasin, el campo de las funciones y la
organizacin de la economa y tecnologa.
C. Provocan serias prdidas econmicas o interrupciones de servicios.
13Ver APNDICE B DELITOS INFORMTICOS EN MXICO Y LEYES QUE LOS TIPIFICAN
-
5/26/2018 Metodologia de Computo Forense
26/134
CONFIDENCIAL 25
D. Se tiene la facilidad en tiempo y espacio, pueden ser del orden de milsimas de
segundo y no siempre se requiere de la presencia fsica.
E. Debido a la falta de regulacin a nivel internacional existen pocas denuncias.
F. Son sofisticados y frecuentes en el mbito militar.
G. Se presentan dificultades tcnicas para su comprobacin.
H. Son en su mayora dolosos o intencionales, pero tambin los hay culposos o
imprudenciales.
I. Pueden ser cometidos por menores de edad.
J. Debido a la propagacin del uso de sistemas de cmputo, se espera que esta
tendencia siga aumentando.
K. A los anterior se suma la dificultad de reprimir esta clase de delitos, en ocasiones
traspasan las fronteras de forma internacional.
Considerando que internet se presta para que se materialicen algunos de los postulados
anteriores, tenemos que segn la Asociacin Mexicana de Internet (AMIPCI), existen
aproximadamente 27.8 millones de usuarios de internet en Mxico, que lo utilizan en promedio
2.54 horas diarias. Esta encuesta muestra que despus del hogar, el mayor sitio desde donde
se obtiene acceso a internet es en el lugar de trabajo (AMIPCI, 2009). Lo cual debe tomarse en
consideracin para procurar medidas y evitar que en la SDN se cree algn escenario favorable
para estos riesgos.
2. Cadena de custodia.
De acuerdo con los artculos 123 Bis del CFPP, la preservacin de los indicios o de los
objetos del delito es responsabilidad directa de los servidores pblicos que entren en contacto
con ellos, por lo cual, en la averiguacin previa deber llevarse un registro con la identificacin
de las personas que intervengan en la cadena de custodia y estn autorizadas para reconocer y
manejar los indicios, huellas o vestigios del delito, as como instrumentos, objetos o productos
-
5/26/2018 Metodologia de Computo Forense
27/134
CONFIDENCIAL 26
del mismo. Esta cadena de custodia iniciar donde se recolecte la evidencia fsica y finalizar
por orden de autoridad competente.
Para cumplir con lo establecido en el artculo anterior, en el acuerdo nmero A/002/10
publicado con fecha 3 de febrero del 2010 en D.O.F. se establecen los lineamientos para que
los servidores pblicos preserven y procesen el lugar de los hechos y los indicios, huellas o
vestigios del hecho delictuoso, as como los instrumentos, objetos o productos del delito 14.
En Mxico la definicin para la cadena de custodia es: El procedimiento de control que se
aplica al indicio material, ya sea vestigio, huella, medio de comisin, objeto material o producto
relacionado con el delito, desde la localizacin por parte de una autoridad, polica o Agente del
Ministerio Pblico, hasta que la autoridad competente ordene su conclusin, segn se trate de
la averiguacin previa o el proceso penal.(Procuradura General de la Repblica., 2010)
3. Huellas del delito.
En el CFPP se establece que todos los instrumentos, objetos o productos de un delito, los
bienes en que existan huellas o pudieran tener relacin con ste, deben ser asegurados para
que no se alteren, destruyan o desaparezcan. Ello implica el seguimiento de la cadena de
custodia (Art.181). Para lo cual se deben tomar las medidas para evitar que los bienes
asegurados se destruyan, alteren o desaparezcan. Estos bienes no podrn ser enajenados o
gravados durante el tiempo que dure el aseguramiento en el procedimiento penal, salvo los
casos sealados por las disposiciones en la misma Ley (Art.182-C).
4. Aseguramiento del inculpado y cateos.
El CFPP establece que una persona puede ser detenida en el momento de cometer un
delito, si es perseguido, o inmediatamente despus de cometerlo si es sealado por la vctima.
Debiendo ser puesto inmediatamente a disposicin de la autoridad competente15, respetando en
todo momento sus derechos fundamentales (Artculo 193).
14Ver APENDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE CUSTODIAEN EVIDENCIA
DIGITAL.15Artculo 16 constitucional.
-
5/26/2018 Metodologia de Computo Forense
28/134
CONFIDENCIAL 27
Por la parte correspondiente a los cateos estos deben limitarse a la diligencia para la cual
fueron autorizados y en esto los testigos son una parte muy importante, de infringir las
disposiciones la investigacin no tiene valor (art. 61), Si durante el cateo se descubre un delito
distinto y es perseguido de oficio, se har constar en el acta que se levante (art. 66). Se
recogern los instrumentos y objetos del delito, libros, papeles o cosas que se encuentren, si se
consideran relacionados al delito o los delitos descubiertos. Se formarn inventarios de los
objetos recogidos. En el Cdigo de Justicia Militar, se especifican estos mismos procedimientos
y que son aplicados de manera similar a los miembros de la Fuerzas Armadas16.
5. Peritos
La palabra perito, tiene como origen el latn peritus y significa sabio, experimentado,
hbil; el diccionario la define como Persona que, poseyendo determinados conocimientos
cientficos, artsticos, tcnicos o prcticos, informa, bajo juramento, al juzgador sobre puntos
litigiosos en cuanto se relacionan con su especial saber o experiencia (Diccionario de la Real
Academia Espaola, 2010). El perito en cmputo forense es un experto en los detalles de
sistemas y las tecnologas de cmputo involucradas en una investigacin17
En el Cdigo Federal de Procedimientos Penales se contempla la participacin de peritos
con conocimientos especiales con el fin de poder dar una opinin en un rea de conocimiento
especial (Artculo 220). Ellos deben tener ttulo oficial en la ciencia o arte. (Artculo 223), se
establecen las situaciones ticas y responsabilidades en que puede caer un perito en caso de
no cumplir con su profesin. (Artculo 227 y 228). Estos son quienes emiten su dictamen por
escrito y, en caso de que existan opiniones diferentes en una opinin, se establecen las formas
para llegar a un acuerdo entre 2 peritos. Un perito puede participar en una diligencia si se le
16Cdigo de Justicia Militar - Cateos Arts. 482 al 490 y, Aprehensin y Detencin del 505 al 51517
VerANEXO D HABILIDADES NECESARIAS PARA UN ESPECIALISTA EN ANLISIS FORENSE
-
5/26/2018 Metodologia de Computo Forense
29/134
CONFIDENCIAL 28
requiere. En el mbito de la justicia militar los peritos practican sus diligencias de manera
similar, con apego a lo antes expuesto18.
6. Medios de prueba.
El Maestro Javier Pia y Palacios, destacado criminlogo, indicaba que [La] prueba es un
instrumento material o de razonamiento, o medio con el que se pretende mostrar o hacer
patente la verdad o falsedad de una cosa o hecho(Montiel, 2002).
En lo que se refiere a los medios de prueba, en el CFPP se admiten todo aquello que se
ofrezca como tal, siempre que pueda ser conducente, y no vaya contra el derecho, a juicio del
juez o tribunal. Cuando la autoridad judicial lo estime necesario, podr por algn otro medio de
prueba, establecer su autenticidad (Art. 206).
En lo que se refiere a la prueba, en el CFPC, se determina que el juez puede valerse de
cualquier persona, cosa o documento, que pertenezca a las partes o a un tercero, sin ms
limitaciones que las de que las pruebas estn reconocidas por la ley y tengan relacin inmediata
con los hechos controvertidos (Art. 79). Se reconocen como medios de prueba, entre otros,
documentos pblicos, los documentos privados, los dictmenes periciales, las fotografas,
escritos y notas taquigrficas, y, en general, todos aquellos elementos aportados por los
descubrimientos de la ciencia.(Art. 93). Se reconoce como prueba la informacin generada o
comunicada que conste en medios electrnicos, pticos o en cualquier otra tecnologa. Lo cual
es muy importante en el rea del cmputo forense, ya que esta es la materia en la que se
sustentan las acciones realizadas en un sistema de informacin digital. En este mismo artculo
se hace nfasis en el valor de la prueba tomndose como algo primordial la fiabilidad del
mtodo en que haya sido generada, comunicada, recibida o archivada. Tambin se especifica la
posibilidad de que esta se puede atribuir a personas y ser accesible para su ulterior consulta.
Se establece que si la Ley puede requerir que un documento sea conservado y presentado en
su forma original, bastar si se acredita que la informacin se ha mantenido ntegra e inalterada
18Cdigo de Justicia Militar.- De los peritosarts. Del 533 al 554.
-
5/26/2018 Metodologia de Computo Forense
30/134
CONFIDENCIAL 29
a partir del momento en que se gener por primera vez en su forma definitiva y sta pueda ser
consultada (Art. 210 -A).
En el CC se establece la admisibilidad como medio de prueba a todos aquellos elementos
que puedan producir conviccin en el juez de hechos controvertidos o dudosos, tomando como
pruebas, entre otras, las declaraciones de peritos, documentos pblicos o privados, fotografas,
facsmiles, cintas cinematogrficas, de videos, de sonido, mensajes de datos, y similares que
sirvan para averiguar la verdad. (Artculo 1205).
En la LMV se estableci desde el 4 de enero de 1990 una modificacin en la cual se
otorga valor probatorio a los mensajes de datos electrnicos si las partes convienen el uso de
medios electrnicos, de cmputo o de telecomunicaciones para el envo, intercambio y
confirmacin de las rdenes y dems avisos. Se establece el mismo valor para claves de
identificacin y la firma autgrafa, produciendo los mismos efectos que las leyes otorguen a los
documentos suscritos por las partes e igual valor probatorio (art. 200 fcs. II y V). La informacin
soportada en medios pticos, magnticos o de procesos telemticos producen los mismos
efectos que las leyes otorgan a los documentos originales, por lo cual tienen igual valor
probatorio (Arts. 209 y 418). Los mensajes de datos son reconocidos como prueba haciendo
nfasis en que se estimar primordialmente la fiabilidad del mtodo en que haya sido generada,
archivada, comunicada o conservada (Artculo 1298 -A).
Por lo que respecta a las atribuciones y deberes de los agentes del ministerio pblico
adscritos a juzgados militares, en el Cdigo de Justicia Militar, se establece que ellos recaban y
presentan las pruebas de un delito as como la probable responsabilidad de los indiciados(Art.
83 ).
Segn lo dispuesto en el CFPP, las comunicaciones entre particulares pueden utilizarse
como pruebas en un proceso legal siempre y cuando cumplan con lineamientos establecidos
(Art. 278 Bis.):
Si son obtenidas directamente por alguno de los participantes en la misma.
-
5/26/2018 Metodologia de Computo Forense
31/134
CONFIDENCIAL 30
Las comunicaciones que obtenga alguno de los participantes con el apoyo de la
autoridad, siempre que conste de manera fehaciente la solicitud previa de apoyo del
particular a la autoridad.
Las que no violen el deber de confidencialidad que establezca la Ley.
Se cuente con el consentimiento expreso de la persona con quien se guarda el deber
de confidencialidad.
Las proporcionadas por empresas concesionarias y permisionarias del servicio de
telecomunicaciones o de internet, por solicitud de la autoridad.
Conclusiones del captulo.
De lo anterior se puede concluir que existen bases legales suficientes, as como
programas federales que permiten la implementacin de una metodologa de cmputo forense
para la obtencin de evidencias en la SDN, y que esta puede sustentar las pruebas en la
comprobacin de delitos informticos. Los delitos informticos son relativamente nuevos y por
sus caractersticas y naturaleza son complejos de cometer y de comprobar, por lo que se
requiere de peritos en materia que determinen e identifiquen las huellas de estos delitos y
faciliten los medios de prueba de su comisin. Debido a la fragilidad de las evidencias su
manejo debe registrarse en una cadena de custodia, de no ser as la investigacin nulifica su
efectividad. Por lo que respecta a las personas involucradas en cualquier delito, estas deben ser
tratadas con restricto apego a la Ley, respetando sus garantas individuales.
-
5/26/2018 Metodologia de Computo Forense
32/134
CONFIDENCIAL 31
CAPTULO IV
EL CMPUTO FORENSE.
Generalidades.
El cmputo forense es una ciencia auxiliar, relativamente reciente en la justicia moderna
que actualmente representa un reto tanto a especialistas en el cmputo forense por su
complejidad, como para los criminalistas y administradores de la justicia, debido a que estas
evidencias digitales deben apegarse a los procedimientos bsicos de la criminalstica y al marco
legal establecido19. Por lo cual, los criminalistas deben aplicar nuevas habilidades que incluyan
a la evidencia obtenida en el cmputo forense para poder esclarecer un caso y reconstruir la
manera en que se sucedieron los hechos (Martnez, 2009).
La criminalstica y el cmputo forense.
La criminalstica es una ciencia multidisciplinaria, que rene conocimientos generales,
sistemticamente ordenados, verificables y falibles. Tiene como objeto el estudio tcnico de
evidencias materiales de hechos presuntamente delictuosos para resolver las interrogantes que
surjan en un caso, conocer su forma de realizacin, instrumentos u objetos utilizados en l y
lograr la identificacin del autor(es) y dems involucrados. (Montiel, 2002)
En esencia el cmputo forense es diferente de la mayora de las disciplinas forenses
tradicionales. Los exmenes de cmputo se pueden realizar prcticamente en cualquier
ubicacin fsica y no slo en el entorno controlado de un laboratorio. En lugar de producir
conclusiones interpretativas, como en muchas disciplinas forenses, la informtica forense
produce informacin directa y datos que pueden ser importantes en un caso legal. Como
disciplina forense, no hay algo que tenga este potencial desde el descubrimiento del DNA como
lo es la ciencia en cmputo forense en ciertos tipos de investigacin y acciones judiciales (Albert
J. Marcella Jr., 2008).
19Ver ANEXO E ACONTECIMIENTOS HISTRICOS EN CMPUTO FORENSE.
-
5/26/2018 Metodologia de Computo Forense
33/134
CONFIDENCIAL 32
El cmputo forense combina elementos legales y de la ciencia computacional para
recolectar y analizar los datos de sistemas de cmputo, redes, comunicaciones inalmbricas, y
dispositivos de almacenamiento de manera que sean admisibles como evidencias en un tribunal
de justicia. En el proceso de cmputo forense se usa el mtodo cientfico para recolectar,
analizar y presentar la evidencia ante los administradores de justicia. La palabra forense
significa traer ante la corte. Por ser una disciplina relativamente nueva, y no est reconocida
como una disciplina cientfica formal, falta estandarizacin y consistencia para el proceder de
los administradores de justicia y organizaciones.
Tabla 1
Preguntas resueltas por la criminalstica y por el cmputo forense.
Preguntas resueltas por la criminalstica. Preguntas resueltas por el cmputo forense.1. Qu sucedi? 1. Qu fue lo que sucedi?2. Cmo sucedi el hecho? 2. Cmo sucedi?3. Dnde sucedi el hecho? 3. Donde ocurri?4. Cundo sucedi el hecho? 4. Cundo ocurri?5. Con que sucedi el hecho? 5. Aqu el campo se reduce a las TI6. Por qu sucedi el hecho? 6. Por qu ocurri?7. Quin realiz el hecho? 7. Quin pudo haberlo hecho?
Nota: En ambas ciencias se busca dar contestacin a las mismas interrogantes, en el cmputo
forense estas cuestiones resuelven hechos cometidos en sistemas de cmputo y TI20.
El principio de intercambio de Locard21en el cmputo forense.
Tomando como base este principio fundamental del anlisis forense moderno se
interpreta que, desde el punto de vista de la evidencia digital, cuando un equipo sospechoso
ataca a otro equipo vctima, se produce transferencia de evidencia digital. El equipo sospechoso
toma datos digitales del equipo vctima y a su vez deja datos digitales en l. La escena del
crimen es el rea desde la cual se ha llevado este intercambio y dependiendo del grado del
20APNDICE C EL CMPUTO FORENSE COMO RAMA DE LA CRIMINALSTICA.21
A finales de 1800, el Doctor Edmond Locard desarroll la teora que es la base del anlisis forense moderno. En este se enunciaque: Cuando una persona entra en contacto con otra persona, objeto o lugar, se produce transferencia de evidencia fsica. Estosignifica que la persona quita del objeto y deja algo en el objeto de contacto. Las posibilidades de este intercambio son ilimitadas.
-
5/26/2018 Metodologia de Computo Forense
34/134
CONFIDENCIAL 33
ataque son las evidencias fsicas utilizadas y las evidencias digitales intercambiadas (Mozayani,
2006).
Figura 2. Interpretacin grafica del Principio de Locard en un delito informtico (Mozayani,
2006).
Los principios aplicados por la criminalstica, con el enfoque al cmputo forense.
En la bsqueda de las respuestas a las interrogantes para resolver un caso, la
criminalstica general utiliza una metodologa acorde al caso, apoyada en siete principios
cientficamente estructurados y comprobados (Montiel, 2002). Aplicando estos principios en el
cmputo forense, se puede verificar y decidir sobre los fenmenos que involucran a las
personas y sistemas de cmputo en lo que se refiere a delitos informticos22.
La evidencia electrnica.
Como se puede observar, para nuestras leyes prcticamente cualquier informacin es
admisible en un proceso judicial, si esta es conducente y no va contra derecho, a juicio del juez
o del tribunal, pero si la autoridad lo determina podr someterlo a pruebas de autenticidad.
La evidencia electrnica o digital es el conjunto de datos e informacin de valor para una
investigacin que esta almacenada o es transmitida por un medio electrnico. Esta evidencia se
obtiene cuando los datos o los equipos fsicos son recolectados y almacenados para propsitos
de evaluacin (National Institute of Justice, 2001).
22Estos principios son: de uso, de produccin, de intercambio, de correspondencia de caractersticas, de reconstruccin defenmenos, de probabilidad y de certeza. VerAPNDICE D LOS PRINCIPIOS DE LA CRIMINALSTICA CON EL ENFOQUE ALCMPUTO FORENSE.
-
5/26/2018 Metodologia de Computo Forense
35/134
CONFIDENCIAL 34
La evidencia electrnica no es visible en su estado natural, ya que se encuentra contenida
en los medios electrnicos. Se encuentra presente en la misma forma que las huellas digitales o
las estructuras de DNA, es decir, no es fcil de identificarla, se requiere de equipos y software
especializados para poder hacerla visible. La evidencia obtenida de equipos de cmputo debe
tratarse como otros tipos de evidencia, manejarse con cuidado para preservar su integridad,
tanto fsica como en los datos; es frgil, puede ser alterada, daada o destruida por el manejo
inadecuado o una examinacin impropia. Una falla puede hacerla intil o llevar a emitir una
conclusin inexacta. Debido a su naturaleza se presentan desafos especiales para su
admisibilidad en una corte (Albert J. Marcella Jr., 2008).
Entre los elementos que hacen de la evidencia digital un desafo ante una corte, estn
(Martnez., 2009):
A. Es voltil
B. Es annima.
C. Es duplicable.
D. Es alterable.
E. Es eliminable.
Debido a las implicaciones legales, es necesario que la evidencia guarde los siguientes
aspectos (Network Working Group, 2002):
A. Admisible: Conforme a las normas legales.
B. Autntica: Debe ser posible relacionar la evidencia material al incidente que se trate.
C. Completa: Debe cubrir la historia complete no solo puntos de vista particulares.
D. Confiable: No debe existir dudas en la forma de recoleccin y tratamiento de la evidencia
que pongan en duda su autenticidad y veracidad.
E. Creble: Debe ser fcilmente comprensible y creble por un tribunal.
Existen esfuerzos por parte de organizaciones internacionales con el objeto de
estandarizar y establecer guas para la recuperacin, preservacin y evaluacin de la evidencia
-
5/26/2018 Metodologia de Computo Forense
36/134
CONFIDENCIAL 35
digital23, mismos que han servido como recomendaciones y bases para trabajos en materia por
otros pases24 Estos implican la consistencia los sistemas jurdicos, la estandarizacin de los
trminos del lenguaje, la durabilidad de los procesos, el poder traspasar las fronteras en la
prosecucin de los delitos y darle el valor a la evidencia digital en todos los niveles
organizacionales (estos fueron propuestos por la Organizacin Internacional en Evidencia de
Cmputo -IOCE, por sus siglas en ingles-).
Modelo en cmputo forense DFRWS y lineamientos del acuerdo nmero A/002/10.
En el ao 2001, el Digital Forensic Research Workshop (DFRWS), realiz un trabajo
multidisciplinario, donde se estableci un modelo para investigacin de cmputo forense, el cual
consiste de siete etapas, cada una contiene los trabajos relacionados con el cumplimiento de la
etapa (Digital Forensic Research Workshop, 2001).
En la parte nacional, el 3 de febrero del 2010 (D.O.F.), se public el acuerdo nmero
A/002/10 donde se establecen los lineamientos para la preservacin y proceso en el lugar de
los hechos, indicios, huellas o vestigios del hecho delictuoso, as como instrumentos, objetos o
productos del delito. Este acuerdo tiene como objetivo general establecer e implementar los
procesos, procedimientos legales y tcnico-cientficos, realizados por los integrantes de las
Instituciones Policiales y los peritos en auxilio del Agente del Ministerio Pblico de la Federacin
y que son necesarios para garantizar la preservacin del lugar de los hechos, del hallazgo y de
los indicios o evidencias, en la integracin de la averiguacin previa. Aunque este ordenamiento
se enfoca a la evidencia fsica, a travs de la identificacin de procesos y procedimientos
adecuados para el manejo de la evidencia electrnica se busca, en este trabajo, preservar la
evidencia electrnica apegados a la normativa mencionada.
23Ver ANEXO F PRINCIPIOS INTERNACIONALES EN EVIDENCIA DE CMPUTO.
24El G-8, el IOCE y los delegados de la Conferencia Internacional Forense y de Crmenes de Alta Tecnologa han reconocido la
necesidad de confiar en el intercambio de pruebas digitales en materia de aplicacin transnacional, por lo que estos principios sonla base para el establecimiento de las prcticas universales, que garanticen la continuidad y fiabilidad de las evidencias que seintercambiarn entre entidades legales.
-
5/26/2018 Metodologia de Computo Forense
37/134
CONFIDENCIAL 36
Figura 3. Fases del modelo de cmputo forense del DFRWS y de los lineamientos del acuerdo
A/002/10.
Armonizacin de los dos modelos de estudio considerados.
Debido a la correspondencia de sus procesos, se consider tomar como referencia el
modelo de Digital Forensic Research Workshop y los lineamientos del acuerdo nmero
A/002/10 con el fin de poder establecer el modelo metodolgico para llevar un trabajo
coordinado y eficiente en materia de cmputo forense, garantizando la certeza jurdica, la
seguridad y la legalidad en una metodologa para la SDN25
25Ver ANEXO J MODELOS DE INVESTIGACIONES EN CMPUTO FORENSE.
Identificacin Preservacin
RecoleccinExmen
Anlisis Presentacin
Decisin
-
5/26/2018 Metodologia de Computo Forense
38/134
CONFIDENCIAL 37
Conocimiento de la comisin deun delito informtico.
Preservacin del lugar de loshechos y/o del hallazgo.
Identificacin, ubicacin y fijacinde los indicios o evidencias.
Recoleccin, embalaje y trasladode los indicios o evidencias
Integracin de la averiguacinprevia en la cadena de custodia.
Integracin de la averiguacinprevia en la cadena de custodia.
Responsabilidades en la cadenade custodia.
Prdida de indicios o evidencias
Solicitud de dictmenes pericialesde los indicios o evidencias
Realizacin de pruebas periciales
Almacenamiento de indicios oevidencias.
Terminacin de la Cadena deCustodia
IDENTIFICACION. Deteccin de un crimen. Identificacin de una firma (IDS). Deteccin de un perfil. Deteccin de anomalas. Denuncia. Sistema de monitoreo. Anlisis de una auditora.
PRESERVACION. Manejo del caso. Cadena de custodia. Tiempo de sincronizacin. Imgenes.
RECOLECCIN.
Preservacin. Mtodos aprobados. Software aprobado. Hardware aprobado. Autoridad legal. Prdida de compresin. Muestreo. Reduccin de datos. Tcnicas de recuperacin.
EXMEN. Preservacin. Seguimiento. Tcnicas de validacin. Filtrado. Patrones de bsqueda. Bsqueda de datos ocultos. Extraccin de datos ocultos.
Decisin.
PGR Acuerdo A/002/10 DFRWS
ANLISIS. Preservacin. Seguimiento. Estadstica. Protocolos. Reduccin y bsqueda
de datos. Lnea del tiempo. Enlaces. Percepcin espacial.
PRESENTACIN Documentacin. Testimonio de expertos. Aclaraciones. Establecimiento del impacto. Contramedidas recomendadas. Interpretacin estadstica.
Figura 4. Armonizacin del modelo de cmputo forense de DFRWS y de los lineamientos
federales en materia de evidencias.
-
5/26/2018 Metodologia de Computo Forense
39/134
CONFIDENCIAL 38
CAPTULO V
METODOLOGA DE CMPUTO FORENSE PARA LA SDN26.
Por medio de la armonizacin del modelo de cmputo forense de DFRWS, de los
lineamientos federales en materia de evidencias, lo establecido en los Cdigo de Justicia Militar
y las buenas prcticas internacionales en materia de cmputo forense, se proponen los
siguientes procesos, mismos que se complementan con procedimientos para materializar una
metodologa de cmputo forense para la SDN27, estos se apoyan en formatos de
documentacin que se incluyen para llevar registros de cadena de custodia, cuestionarios para
investigar delitos o incidentes en cmputo, metodologa general de la criminalstica con el fin de
mantener la evidencia fsica de hallazgos y objetos, recomendaciones de expertos y buenas
prcticas internacionales:
PROCESO 1. CONOCIMIENTO DE LA COMISIN DE UN DELITO INFORMTICO.
PROCESO 2. PRESERVACION DEL LUGAR DE LOS HECHOS Y/O DEL HALLAZGO.
PROCESO 3. PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS DEL DELITO
INFORMTICO.
PROCESO 4. INTEGRACIN EN LA AVERIGUACION PREVIA DE LA CADENA DE
CUSTODIA.
PROCESO 5. RESPONSABILIDADES EN LA CADENA DE CUSTODIA.
PROCESO 6. PRDIDA DE INDICIOS O EVIDENCIA DIGITAL.
PROCESO 7. DE LOS SERVICIOS PERICIALES.
PROCESO 8. REALIZACIN DE LAS PRUEBAS PERICIALES.
PROCESO 9. ALMACENAMIENTO DE LOS INDICIOS O EVIDENCIA DIGITAL. PROCESO 10. TERMINACIN DE LA CADENA DE CUSTODIA.
26Ver APNDICE E METODOLOGA DE CMPUTO FORENSE PARA LA SDN Y DIAGRAMA DE FLUJO GENERAL DE LAMETODOLOGA PARA OBTENCIN DE EVIDENCIAS PARA LA SDN.
27Id.
-
5/26/2018 Metodologia de Computo Forense
40/134
CONFIDENCIAL 39
CAPTULO VI
ANLISIS E INTERPRETACIN DE RESULTADOS.
Como se puede observar en las tablas de correlacin de procesos de la MCF para la
SDN28, los procesos que integran la metodologa propuesta corresponden con los lineamientos
ordenados a nivel federal en el acuerdo nmero A/002/10, en la misma tabla tambin se
observa que existe una correlacin con los procesos de la metodologa general de anlisis de
cmputo forense de la Digital Forensic Research Workshop (DFRWS), as como con los
contenidos del Cdigo de Justicia Militar, que es la base legal de la prosecucin de delitos
cometidos en las Fuerzas Armadas (Ejrcito, Fuerza Area y Armada nacionales). En las
citadas tablas tambin se observan materiales de apoyo y procedimientos que fueron
desarrollados exprofeso para este trabajo desde el punto de vista de la evidencia digital. Debido
a esta correspondencia de procesos y considerando que cumple con los puntos establecidos a
nivel federal para el manejo de las evidencias, se afirma la hiptesis de este trabajo de
investigacin, la cual se cita:
Una metodologa de cmputo forense para la SDN que cumpla con los requisitos del
marco normativo y que incluya procesos y procedimientos basados en los lineamientos de
cadena de custodia vigentes, y que contemple en su implementacin las buenas prcticas
internacionales en materia de evidencia digital, coadyuvar a mantener la integridad de la
evidencia digital durante el proceso legal, para la determinacin de responsabilidades por actos
ilcitos cometidos por medio de tecnologas de la informacin.
28APENDICE G ANLISIS E INTERPRETACIN DE RESULTADOS.
-
5/26/2018 Metodologia de Computo Forense
41/134
CONFIDENCIAL 40
CAPTULO VII
CONCLUSIONES, SOLUCIONES Y RECOMENDACIONES.
Si bien existen programas y lineamientos en materia de evidencias fsicas, todava falta
estandarizar los procedimientos en materia de evidencia electrnica.
A medida que se siga expandiendo el uso de las TICs en las actividades humanas, va a
ser ms necesario contar con el personal, las herramientas y los procedimientos para
establecer responsabilidades en materia de delitos informticos.
Aunque todava manifiestan los expertos, que es difcil llevar el rea digital como
evidencia en un juicio, en este trabajo de investigacin se toman el marco normativo existente
en evidencia fsica, los avances en legislacin informtica, las buenas prcticas internacionales
en evidencia digital y los principios criminalsticos para establecer que legalmente es posible
garantizar las evidencias digitales que resulten de un delito informtico.
En el ambiente nacional actual, la fuga de informacin digital es algo comn y costoso a
organizaciones pblicas y privadas, por lo que es necesario tomar medidas para que estos
ataques sean controlados e identificados los agresores. Pero es aun ms necesario el dar
seguimiento y castigar a aquellos que cometen delitos.
El trabajo desarrollado es una solucin general para identificar delitos y autores de estos
por medio de TICs, solo resta fomentar la cultura y afirmar los conceptos de delitos
informticos entre aquellos que estn encargados de aplicar las leyes.
El anlisis del marco legal demuestra que con las leyes vigentes se puede dar
seguimiento y castigar delitos informticos. Por lo anterior, se recomienda que este trabajo sea
validado por los expertos en materia legislativa militar y sirva como una base para las futuras
investigaciones en la materia.
Existen los lineamientos federales en materia de conservacin de la evidencia, lo cual
puede ser un sustento en lo que se refiere al manejo de la evidencia digital, como se expuso en
este trabajo, por lo que se recomienda que las autoridades judiciales y administrativas de la
-
5/26/2018 Metodologia de Computo Forense
42/134
CONFIDENCIAL 41
SDN difundan la aplicacin de los lineamientos mencionados tanto en evidencia fsica como en
evidencia digital con el fin de no verse involucrados en algn aspecto de tipo legal.
Finalmente, se recomienda promover la cultura del cmputo forense en las unidades,
dependencias e instalaciones de la SDN para que se tenga el conocimiento que cualquier
actividad llevada a cabo desde sistemas de informacin, puede ser detectada y monitoreada.
-
5/26/2018 Metodologia de Computo Forense
43/134
CONFIDENCIAL 42
BIBLIOGRAFA Y LISTA DE REFERENCIAS.
1. ACPO. (2009). Good Practice Guide for Computer-Based Electronic Evidence.2. Albert J. Marcella Jr., D. M. (2008). Cyberforensics.NW: Auerbach Publications.3. AMIPCI. (Mayo de 2009). Hbitos de los Usuarios de Internet en Mxico. Mxico.4. Cmara de Diputados del H. Congreso de la Unin. (2005). Ley de Seguridad Nacional.
Mxico.
5. Campoli., G. A. (2006). Manual bsico de cateo y aseguramiento de evidencia digital.Mxico: INACIPE.
6. Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Computers,and the Internet.Elsevier Academic Press.
7. Chris Prosise, K. M. (2003). Incident Response & Computer Forensics.McGraw-Hill/Osborne.
8. Computer Security Institute. (2008). 2008 CSI Computer Crime & Security Survey.EE.UU.AA.
9. Conferencia de las Naciones Unidas sobre Comercio y Desarrollo. (Junio de 2009).Estudio sobre las perspectivas de la armonizacin de la ciberlegislacin en AmricaLatina.
10. DFRWS. (2001). A Road Map for Digital Forensic Research. New York, Uttica,
EE.UU.AA.11. Diccionario de la Real Academia Espaola. (14 de enero de 2010). Real Academia
Espaola.Recuperado el 14 de enero de 2010, de Real Academia Espaola:http://buscon.rae.es/draeI/
12. Diccionario de la Lengua Espaola. (s.f.). DICCIONARIO DE LA LENGUA ESPAOLA -Vigsima segunda edicin. Recuperado el 27 de 02 de 2010, de http://www.rae.es/.
13. Digital Forensic Research Workshop. (6 de 11 de 2001). A Road Map for Digital ForensicResearch. New York, Utica.
14. Douglas Barbin, C. C. (20 de febrero de 2010). ISACA.Recuperado el 20 de febrero de2010, de www.isaca.org:http://www.isaca.org/Content/ContentGroups/Member_Content/Journal1/20023/Computer_Forensics_Emerges_as_an_Integral_Component_of_an_Enterprise_Information_Assu
rance_Program.htm15. EC-Council. Computer Hacking Forensic Investigator V.3 Volume 1.EC-Council.16. ESET Latinoamrica. (5 de abril de 2010). Costos del negocio delictivo encabezado por
el crimeware. Buenos Aires,, Argentina.