metodologia de computo forense

5/26/2018 Metodologia de Computo Forense

1/134

CONFIDENCIAL

SECRETARA DE MARINA.

CENTRO DE ESTUDIOS SUPERIORES NAVALES.

MAESTRA EN SEGURIDAD DE LA INFORMACIN.

TESIS.

METODOLOGA DE CMPUTO FORENSE PARA LA OBTENCIN DE EVIDENCIAS PARA

LA SECRETARA DE LA DEFENSA NACIONAL.

CAP. 1/o. I.C.E. RENATO MONTELLANO HERNNDEZ.

JUNIO 2010.


2/134

CONFIDENCIAL 1

SECRETARA DE MARINA

CENTRO DE ESTUDIOS SUPERIORES NAVALES

MEXICO, D.F.

TESIS.

METODOLOGA DE CMPUTO FORENSE PARA LA OBTENCIN DE EVIDENCIAS PARA

LA SECRETARA DE LA DEFENSA NACIONAL.

POR:

CAP. 1/o. I.C.E. RENATO MONTELLANO HERNNDEZ.

El contenido del presente trabajo refleja los puntos de vista de autor, que no necesariamenteapoyan el Alto Mando de la Secretara de la Defensa Nacional, Armada de Mxico o laDireccin del Centro de Estudios Superiores Navales.

_________________________

JUNIO DE 2010.


3/134

CONFIDENCIAL 2

NDICE.NDICE. ...................................................................................................................................... 2EXTRACTO. ............................................................................................................................... 4INTRODUCCIN. ....................................................................................................................... 5CAPTULO I ................................................................................................................................ 7PROYECTO DE INVESTIGACIN ............................................................................................. 7

Antecedentes .......................................................................................................................... 7

Planteamiento del Problema ................................................................................................. 11

Variables de la Investigacin ................................................................................................. 14

Hiptesis ............................................................................................................................... 14

Objetivos de la Investigacin ................................................................................................. 14

Enfoque, alcance y diseo de la Investigacin. ..................................................................... 15

Importancia, Justificacin y Viabilidad ................................................................................... 15

CAPTULO II ............................................................................................................................. 17MARCO TERICO. .................................................................................................................. 17

Generalidades. ...................................................................................................................... 17

Definiciones Conceptuales y Operacionales.......................................................................... 17

Modelo de Investigacin ........................................................................................................ 20

Poblacin y Muestra. ............................................................................................................. 20

Instrumentos de Medicin. .................................................................................................... 20

CAPTULO III ............................................................................................................................ 21MARCO NORMATIVO APLICABLE. ......................................................................................... 21

Generalidades. ...................................................................................................................... 21

1. Delitos informticos. ....................................................................................................... 23

2. Cadena de custodia. ...................................................................................................... 25

3. Huellas del delito. ........................................................................................................... 264. Aseguramiento del inculpado y cateos. .......................................................................... 26

5. Peritos ............................................................................................................................ 27

6. Medios de prueba. ......................................................................................................... 28

Conclusiones del captulo. ..................................................................................................... 30

CAPTULO IV ........................................................................................................................... 31EL CMPUTO FORENSE. ....................................................................................................... 31

Generalidades. ...................................................................................................................... 31

La criminalstica y el cmputo forense. .................................................................................. 31

El principio de intercambio de Locard en el cmputo forense. ............................................... 32Los principios aplicados por la criminalstica, con el enfoque al cmputo forense. ................ 33

La evidencia electrnica. ....................................................................................................... 33

Modelo en cmputo forense DFRWS y lineamientos del acuerdo nmero A/002/10. ............ 35

Armonizacin de los dos modelos de estudio considerados. ................................................. 36

CAPTULO V ............................................................................................................................ 38METODOLOGA DE CMPUTO FORENSE PARA LA SDN. ................................................... 38


4/134

CONFIDENCIAL 3

CAPTULO VI ........................................................................................................................... 39ANLISIS E INTERPRETACIN DE RESULTADOS. .............................................................. 39CAPTULO VII .......................................................................................................................... 40CONCLUSIONES, SOLUCIONES Y RECOMENDACIONES. .................................................. 40BIBLIOGRAFA Y LISTA DE REFERENCIAS. .......................................................................... 42

APNDICES Y ANEXOS. ......................................................................................................... 44

APNDICE A ANLISIS DE LA NORMATIVA ACTUAL PARA LA APLICACIN DE UNAMETODOLOGA DE CMPUTO FORENSE PARA LA SECRETARA DE LA DEFENSANACIONAL.............................................................................................................................. 45

APNDICE B DELITOS INFORMTICOS EN MXICO Y LEYES QUE LOS TIPIFICAN...... 51APNDICE C EL CMPUTO FORENSE COMO RAMA DE LA CRIMINALSTICA ............... 52APNDICE D LOS PRINCIPIOS DE LA CRIMINALSTICA CON EL ENFOQUE AL CMPUTOFORENSE............................................................................................................................... 53

APENDICE E METODOLOGA DE CMPUTO FORENSE PARA LA SDN Y DIAGRAMA DEFLUJO GENERAL DE LA METODOLOGA PARA OBTENCIN DE EVIDENCIAS PARA LASDN ........................................................................................................................................ 54

APNDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE

CUSTODIA EN EVIDENCIA DIGITAL..................................................................................... 62APENDICE G ANLISIS E INTERPRETACIN DE RESULTADOS...................................... 75ANEXO A SISTEMA DE DATOS PERSONALES DE LA SDN, REGISTRADOS ANTE ELI.F.A.I. (2008)........................................................................................................................... 80

ANEXO B ESTADSTICA CRIMINAL DEL PERSONAL DE LAS FUERZAS ARMADASELABORADA POR EL PROCURADOR DE JUSTICIA MILITAR AL 4 DE MARZO DE 2009 .. 81

ANEXO C CLASIFICACIN DE LOS DELITOS INFORMTICOS POR MEDIO U OBJETIVODE COMISIN........................................................................................................................ 83

ANEXO D HABILIDADES NECESARIAS PARA UN ESPECIALISTA EN ANLISIS FORENSE................................................................................................................................................. 84

ANEXO E ACONTECIMIENTOS HISTRICOS EN CMPUTO FORENSE.......................... 85ANEXO F PRINCIPIOS INTERNACIONALES EN LA EVIDENCIA DE CMPUTO................. 86

ANEXO G EL PROCEDIMIENTO JURDICO PREVIO........................................................... 88ANEXO H PROCEDIMIENTO PARA EL ASEGURAMIENTO DE LA EVIDENCIA DIGITAL.. 89ANEXO I PROCEDIMIENTO DE RESPUESTA EN VIVO PARA LA RECOLECCIN DEEVIDENCIA VOLTIL............................................................................................................ 102

ANEXO J MODELOS DE INVESTIGACIONES EN CMPUTO FORENSE......................... 104ANEXO K PROCEDIMIENTO PARA EL ANLISIS DE LA EVIDENCIA DIGITAL................ 106ANEXO L RECOMENDACIONES PARA LLEVAR A CABO LA RECOLECCION DEEVIDENCIAS DIGITALES. .................................................................................................... 110

ANEXO M PROCEDIMIENTO PARA LA REALIZACIN DEL REPORTE PERICIAL........... 112ANEXO N EQUIPO BSICO Y HERRAMIENTAS PARA LA INVESTIGACIN DE DELITOSINFORMTICOS................................................................................................................... 113

ANEXO O ARTCULOS ELECTRNICOS QUE INVOLUCRAN LA EVIDENCIA DIGITAL.. 114

ANEXO P QU SE DEBE BUSCAR PARA REALIZAR UN CATEO COMPLETO................ 119ANEXO Q METODOLOGA DE LA CRIMINALSTICA DE CAMPO..................................... 120ANEXO R GUA DE ENTREVISTA PARA LOS SOSPECHOSOS INVOLUCRADOS EN LOSDELITOS INFORMTICOS................................................................................................... 126

ANEXO S DEFINICIONES................................................................................................... 132


5/134

CONFIDENCIAL 4

EXTRACTO.

El incremento en el uso de las tecnologas de la informacin en las actividades humanas

permite que muchas de estas se realicen con mayor rapidez y facilidad.

Quienes cometen delitos tambin han aprovechado estas bondades tecnolgicas y han

impactado a organizaciones y gobiernos. Estas entidades, preocupados por el impacto que

puedan significar estos ataques para sus activos, han empezado a tomar medidas para

mitigarlos.

La aplicacin de las tcnicas de cmputo forense permiten identificar las actividades

realizadas desde sistemas de cmputo, medios de almacenamiento y otros equipos

electrnicos, con lo cual se pueden llegar a establecer responsabilidades por actividades

delictuosas o contrarias a las leyes; as como responder a preguntas durante una investigacin.

La criminalstica es la que permite establecer y probar delitos cometidos, as como sus

autores y vctimas. Al emplear los principios de esta ciencia en la investigacin de un delito

informtico, se tendr la capacidad de conducirse de manera congruente durante la

investigacin. En particular, la criminalstica aplicada al cmputo forense como un medio de

investigacin, implica la necesidad de que sea realizado por personal capacitado en la materia y

en el marco legal vigente; adems, el resguardo de las evidencias debe estar apegado a las

polticas de los organismos procuradores de justicia y en las buenas prcticas internacionales.

El manejo de evidencia digital es un aspecto fundamental, que necesita de una

metodologa que sea la base y gua del proceder de los expertos, si esto no se establece se

corre el riesgo de no contar con los requerimientos mnimos para el cuidado de estas

evidencias, con lo cual una investigacin puede carecer de validez.

La metodologa planteada se ha desarrollado atendiendo en particular al Cdigo de

Justicia Militar, por ser el ms aplicable a la Secretaria de la Defensa Nacional, pero con una

visin interinstitucional al analizar otra normatividad que es aplicable al Instituto Armado.


6/134

CONFIDENCIAL 5

INTRODUCCIN.

Ante la amenaza que representan los delitos informticos para la seguridad de la

informacin de las instituciones del gobierno y del sector privado, se estn capacitando

personas y estableciendo los lineamientos para responder ante un evento de este tipo y fincar

responsabilidades por los mismos.

La Secretaria de la Defensa Nacional (SDN), como una organizacin que utiliza

tecnologas de la informacin para el cumplimiento de sus misiones, no est exenta de que se

materialice un ataque contra sus activos informticos.

El desarrollo de este trabajo se bas en los lineamientos emitidos por el Gobierno Federal

en materia de conservacin de evidencias y en cadena de custodia. Tambin se emple el

marco normativo dentro del cual desarrolla sus actividades la SDN, principios de criminalstica y

buenas prcticas internacionales en cmputo forense.

En la hiptesis de este trabajo se establece que: una metodologa de cmputo forense

para la SDN, que cumpla con los requisitos del marco normativo y que incluya procesos y

procedimientos basados en los lineamientos de cadena de custodia vigentes, y que contemple

en su implementacin las buenas prcticas internacionales en materia de evidencia digital,

asegurar la integridad de la evidencia digital durante el proceso legal, para la determinacin de

responsabilidades por actos ilcitos cometidos por medio de tecnologas de la informacin.

El objetivo general de este trabajo es: Plantear una metodologa de cmputo forense para

la SDN, apegada al marco normativo vigente, que conduzca a la obtencin de evidencias

digitales y asegure su integridad, para determinar responsabilidades por actos ilcitos cometidos

por medio de tecnologas de la informacin.

La importancia de este proyecto de investigacin radica en que los delitos informticos

son una amenaza latente a nivel mundial, a nivel nacional y dentro de cada organizacin que

cuente con tecnologas de la informacin. Por esto, las instituciones toman medidas para

anticiparse a estas amenazas (como son la actualizacin del marco regulatorio, la capacitacin


7/134

CONFIDENCIAL 6

y adquisicin de tecnologas, por mencionar algunos), con el fin de identificar a los responsables

y procurar la seguridad en la informacin. Con base en los lineamientos normativos vigentes,

ste trabajo busca fortalecer los mtodos de investigacin de los delitos informticos para dar

cumplimiento a los objetivos institucionales.

Para esta tesis se adopt un enfoque cualitativo a travs de revisin de materiales

tericos, observacin y anlisis, sin aplicarse la cuantificacin. Su alcance describe las etapas

que conforman una metodologa propuesta. No se llev a cabo experimentacin, pues se bas

en materiales probados a nivel nacional e internacional y, debido a que esta disciplina es

reciente, los datos que se analizaron corresponden a una realidad actual.

En este trabajo se tratan los siguientes captulos: I. Proyecto de investigacin, II. Marco

terico, III. Marco normativo aplicable, IV. El cmputo forense, V. Metodologa de cmputo

forense para la SDN, VI. Anlisis e interpretacin de resultados, VII. Conclusiones, soluciones y

recomendaciones.


8/134

CONFIDENCIAL 7

CAPTULO I

PROYECTO DE INVESTIGACIN

Metodologa de cmputo forense para la obtencin de evidencias para la Secretara de la

Defensa Nacional (SDN).

Antecedentes

Alrededor de lo que involucra el uso de las Tecnologas de Informacin y la Comunicacin

(TICs), en general, y el desarrollo del cmputo forense en particular se han observado

acontecimientos importantes, de acuerdo con la bibliografa revisada, que se resumen a

continuacin:

A. Los avances y difusin de uso de estas TICs.

B. El funcionamiento de los sistemas de informacin digital.

C. Instituciones que actualmente promueven el cmputo forense en Mxico.

D. Las polticas gubernamentales en materia de Seguridad Nacional.

E. Importancia de las actividades y sensibilidad de la informacin de la SDN.

F. Incidentes de seguridad y fuga de informacin.

G. Personal que efecta el cmputo forense y es responsable de la cadena de custodia.

H. Lineamientos federales en materia de evidencias y cadena de custodia.

A. En la actualidad las TICs sustentan la mayora de las actividades del conocimiento y

del quehacer humano. Sus capacidades de proceso y almacenamiento alcanzan

valores cada vez mayores. Por medio de estas tecnologas se puede procesar y

acceder a prcticamente cualquier tipo de informacin (datos, audio, video, seales de

control).

Con el uso de las tecnologas de la informacin, una gran cantidad de actividades

humanas cambiaron de los entornos fsicos tradicionales a entornos virtuales de

trabajo soportados por sistemas de cmputo. Sobre estos nuevos entornos virtuales


9/134

CONFIDENCIAL 8

se han presentado abusos por atacantes y delincuentes quienes, valindose de los

beneficios de estas tecnologas, han cometido una amplia gama de ilcitos (Computer

Security Institute, 2008). Estos abusos se han presentado en todo tipo de

organizaciones y stas pueden concretarse en la SDN, ya que estos problemas

radican tanto en el aspecto tecnolgico como en el humano.

B. Para fines de administracin, los sistemas de cmputo estn diseados para que

durante su funcionamiento normal almacenen una gran cantidad de datos que pasan

desapercibidos para el usuario habitual. Estos datos son los registros detallados de

operaciones, mismos que se almacenan en bitcoras, tablas de ruteo, archivos

temporales del sistema y otras ubicaciones, a las que solamente se puede acceder

por medio de herramientas especializadas.

C. Con el fin de poder llevar a cabo el seguimiento y establecer responsabilidades por

ataques y abusos, organizaciones gubernamentales, comerciales y financieras a nivel

internacional, incorporan tcnicas de cmputo forense en sus estructuras

organizacionales. (U.S. Departament of Homeland Security, 2003). En la actualidad, a

nivel nacional, el cmputo forense tiene difusin en universidades y escuelas del

sector pblico y privado, entre otros, UNAM (UNAM-CERT, Congreso de Seguridad en

Cmputo), IPN (Maestra en Ingeniera en Seguridad y Tecnologas de la Informacin

(PNP-Conacyt), Especialidad en Seguridad Informtica y Tecnologas de la

Informacin), Tecnolgico de Monterrey (Diplomado en Seguridad Informtica) y

UNITEC (Maestra en Seguridad de Tecnologa de Informacin). En el pas existen

instituciones privadas que otorgan capacitacin y servicios en la materia, como son:

EC-Council, Ernst&Young, Insys, ALAPSI, IBM Mxico y MaTTica; en lo que respecta

a las Fuerzas Armadas, se cuenta con el CESNAV de la SEMAR (Maestra en

Seguridad de la Informacin) y para instituciones en materia de procuracin de justicia

con el INACIPE (Maestra en Criminalstica).


10/134

CONFIDENCIAL 9

D. Por otra parte se cuenta con legislacin y normatividad nacional de observancia para

la SDN y que est relacionada con las TICs. Es as como en el artculo 5 de la Ley

de Seguridad Nacional, se enlistan las amenazas que existen contra la Seguridad

Nacional. En la citada Ley se establecen responsabilidades a la SDN y a su titular,

como integrante del Consejo de Seguridad Nacional, en lo referente al manejo de la

informacin, intervencin de comunicaciones privadas y produccin de inteligencia.

(Cmara de Diputados del H. Congreso de la Unin., 2005).

En el Plan Nacional de Desarrollo 2006-2012, se incluye la ejecucin coordinada del

Programa de Seguridad Nacional, en el cual se establecen acciones puntuales y entre

stas se destacan:

Produccin de inteligencia y contrainteligencia activa y pasiva.

Solidez metodolgica en el pensar y el hacer.

Identificacin de fuentes y personas que ataquen a la Seguridad Nacional.

Profesionalizacin, capacitacin y ajuste al marco normativo.

Alineamiento de facultades con responsabilidades.

Trabajo conjunto y coordinado; y

Aprovechamiento de las tecnologas de punta.

E. El Ejrcito y Fuerza Area Mexicanos como Instituciones Armadas del Pas, cumplen

con misiones generales que le son encomendadas las cuales son vitales en la

seguridad del Pas (SDN, 2009.); esto se afirma con su participacin en el Consejo de

Seguridad Nacional y Consejo Nacional de Seguridad Pblica, debido a la sensibilidad

de la informacin que se maneja en el cumplimiento de sus misiones, la divulgacin de

las normas, polticas y lineamientos en materia de seguridad informtica de la SDN,

causara los siguientes daos:

Dao presente.- Al modificarse la informacin, se pueden crear escenarios

catastrficos en seguridad interior y exterior de la federacin, pudindose alterar la


11/134

CONFIDENCIAL 10

estabilidad social y crear caos en la poblacin, poniendo en grave riesgo la Seguridad

Nacional.

Dao probable1 (riesgo de las operaciones militares).- La publicacin de datos

personales y efectivos del personal militar y derechohabientes2, arriesgara su

integridad fsica, revelara las capacidades del Ejrcito y Fuerza Area Mexicanos,

limitando su eficiencia contra el narcotrfico y delincuencia organizada;

Dao especfico (alteracin de las actividades cotidianas).- Se pueden alterar las

actividades cotidianas, tendientes a mantener la normalidad del funcionamiento de la

SDN (SDN, 2008).

F. De una forma proactiva, en los resultados de la Encuesta de seguridad y crmenes de

cmputo 2008 del CSI, que bien pueden aplicarse a una organizacin como la SDN,

se demuestra que el porcentaje de incidentes de seguridad, atribuida a trabajadores

internos, fue del 25%. Entre los tipos de incidentes de seguridad que presentaron un

alto ndice de recurrencia en el ao 2008 estn los virus informticos, el abuso de

parte de los trabajadores, el fraude o robo de equipos porttiles, el acceso no

autorizado, la instalacin de robots, los fraudes financieros y los ataques al DNS

(Computer Security Institute, 2008). Tambin se presentaron fugas de informacin en

organizaciones pblicas y privadas, debido a que usuarios de los sistemas instalaron y

usaron programas para compartir archivos, exponiendo los datos personales de

clientes y empleados. Esta informacin puede ser utilizada para cometer fraudes o

robo de identidad. (Federal Trade Comission., 2010).

G. Debido al grado de dificultad que representa el cmputo forense y a que los sistemas

de cmputo van aumentado en sus capacidades, el personal que lo realiza debe estar

actualizado en procedimientos, tcnicas y herramientas para poder recolectar,

1Vase ANEXO A SISTEMA DE DATOS PERSONALES DE LA SDN, REGISTRADOS ANTE EL I.F.A.I. (2008).

2Los datos personales estn clasificados como confidenciales, de conformidad con los artculos 3 fraccin II, 18 Fraccin II, 20fracc. VI, 21 y 24 de la Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental.


12/134

CONFIDENCIAL 11

custodiar, revisar, analizar y presentar adecuadamente los resultados del cmputo

forense (Martnez., 2009).

Para poder llevar las pruebas de un delito ante una corte judicial, la cadena de

custodia es una parte muy importante en la conservacin de la evidencia, en sta se

lleva un registro escrito de las personas que tuvieron el resguardo y acceso a las

mismas, desde su adquisicin inicial hasta su disposicin final. Cada individuo en la

cadena de custodia es responsable de una parte de la evidencia en su manejo,

custodia, y conservacin mientras est bajo su control.

H. En el acuerdo nmero A/002/10 del Procurador General de la Repblica, publicado en

el D.O.F. del 3 de febrero de 2010, se establecen los lineamientos para que los peritos

y dems servidores pblicos preserven y procesen el lugar de los hechos o del

hallazgo y de los indicios, huellas o vestigios del hecho delictuoso, as como

instrumentos, objetos o productos del delito y de esta manera dar cumplimiento al

artculo 123 Bis del CFPP (Procuradura General de la Repblica., 2010).

Planteamiento del Problema

La fuga de la informacin es algo a lo que est expuesto cualquier sistema de

informacin. De acuerdo con el manual de las Naciones Unidas para la prevencin y control de

los delitos informticos, (nmeros 43 y 44), los empleados de una empresa son la mayor

amenaza de una organizacin con el 90% de los incidentes producidos. En el mismo manual, se

indica que el 73% del riesgo a la seguridad de cmputo se atribuye a fuentes internas y solo el

23% a actividades criminales externas (United Nations Crime and Justice Information Network.,

2010).

Los ilcitos han traspasado del aspecto natural conocido al campo de las tecnologas de la

informacin provocando, entre otros daos, la prdida y robo de informacin, denegacin del

servicio (DoS) y fraudes, los cuales han ocasionado daos fsicos, morales y econmicos a

personas, organizaciones y gobiernos. (l. Volonino, 2007).


13/134

CONFIDENCIAL 12

La SDN actualmente se encuentra conformada por un efectivo de 202,355 elementos,

mismos que para efectuar sus trabajos y el cumplimiento de sus misiones se auxilian de equipo

de cmputo, el cual est conformado aproximadamente por un total de 9,878 computadoras

personales, 119 computadoras porttiles y 128 servidores.

Con el fin de mantener una relacin informativa con la sociedad, la SDN cuenta con un

portal de internet, por medio del cual acceden aproximadamente 4,600 usuarios diariamente; sin

embargo, del 1 de diciembre de 2006 al 10 de noviembre de 2009, se presentaron ataques

cibernticos, intrusiones maliciosas e intentos de hackeo, contra este portal los cuales fueron

bloqueados por la infraestructura de seguridad y no fueron exitosos. Tambin se detectaron

brotes de virus informticos que afectaron reas administrativas, los cuales fueron controlados

inmediatamente, entre estos virus estn: mexica, tarntula, kof, music, usr, usb y clean (SDN,

2009).

En el periodo del 1 de enero del 2007 al 1 de junio del 2008, se tienen registrados

aproximadamente 1,000,000 de intentos de ataques al portal mencionado, siendo estos de los

siguientes tipos: esnifeo, escaneo de puertos, introduccin de cdigo malicioso, lectura de

archivo de contraseas, envo de pings, ejecucin de cdigo remoto y acceso de aplicaciones

restringidas. Estos intentos no fructificaron y afortunadamente no se presentaron daos. (SDN,

2008).

Por lo que respecta a delitos informticos cometidos por personal perteneciente a las

Fuerzas Armadas, de un total de 3150 delitos cometidos, la Procuradura General de Justicia

Militar, proces dos casos por acceso ilcito a sistemas y equipos de informtica. De igual

manera, se procesaron cinco contra el honor militar; uno por ejercicio indebido de servidor

pblico, tres por fraude, tres por falsificacin de documentacin, siete por malversacin y tres


14/134

CONFIDENCIAL 13

por uso de documentos falsos, mismos que para su comisin pudieran estar soportados por

tecnologas de la informacin3.

Actualmente, entre las funciones que tiene a cargo la Direccin General de Informtica de

la SDN, est el proporcionar apoyos en peritajes y auditoras en delitos informticos (SDN,

2009), que se llevan a cabo con base en buenas prcticas internacionales y herramientas para

la obtencin de registros y la recuperacin de la informacin para el anlisis de los datos. Estas

actividades son realizadas para comprobar delitos cometidos por medio de equipos de cmputo

al interior de la SDN o en apoyo a otras instituciones. Sin embargo, en la Seccin de Seguridad

Informtica perteneciente a la citada Direccin no se cuenta con una metodologa formal para

llevar a cabo el cmputo forense.

Tenindose como antecedentes lo anteriormente expuesto, y que en la Institucin no se

ha formalizado una metodologa para obtencin de evidencias de sistemas de cmputo; se

plantea la problemtica de que en la SDN, debe establecerse formalmente una metodologa de

cmputo forense para la obtencin de evidencias, que cumpla con el marco regulatorio y

disposiciones legales para las operaciones militares y de Seguridad Nacional, con la cual se

obtengan los registros y datos de sistemas informticos involucrados en delitos informticos o

incidentes de seguridad; que mantenga las garantas de la evidencia obtenida y que a su vez se

incluyan los perfiles del personal destinado al cmputo forense. Por lo cual se plantea la

siguiente pregunta de investigacin:

Cules son los procesos y procedimientos que deben integrarse en una metodologa de

cmputo forense para la SDN, para que sta cumpla con el marco normativo y los lineamientos

en materia de cadena de custodia vigentes, que coadyuven a resguardar la integridad de las

evidencias digitales recolectadas y su validez legal para la posterior determinacin de

responsabilidades por actos ilcitos cometidos por medio de tecnologas de la informacin ante

una corte o instancia administrativa?

3ANEXO B ESTADSTICA CRIMINAL DEL PERSONAL DE LAS FUERZAS ARMADAS ELABORADA POR EL PROCURADORDE JUSTICIA MILITAR AL 4 DE MARZO DE 2009.


15/134

CONFIDENCIAL 14

Variables de la Investigacin

Variable dependiente:Metodologa de cmputo forense para la SDN.

Variable independiente: delitos informticos, marco normativo y cadena de custodia,

procesos y perfil profesional del personal.

Hiptesis

Una metodologa de cmputo forense para la SDN que cumpla con los requisitos del

marco normativo y que incluya procesos y procedimientos basados en los lineamientos de

cadena de custodia vigentes, y que contemple en su implementacin las buenas prcticas

internacionales en materia de evidencia digital, codyuvar a preservar la integridad de la

evidencia digital durante el proceso legal, para la posterior determinacin de responsabilidades

por actos ilcitos cometidos por medio de tecnologas de la informacin.

Objetivos de la Investigacin

Objet ivo General:

Plantear4una metodologa de cmputo forense para la SDN, apegada al marco normativo

vigente, que conduzca a la obtencin de evidencias digitales, el anlisis y que asegure su

integridad, para determinar responsabilidades por actos ilcitos cometidos por medio de

tecnologas de la informacin.

Objeti vo s Especfic os

Analizar el marco normativo aplicable para el establecimiento de una metodologa

de cmputo forense para la SDN, las disposiciones vigentes en materia de cadena

de custodia y los tipos de delitos cometidos por medio de las tecnologas de la

informacin que estn penalizados en el Pas.

4 Dentro de la categora de la TAXONOMA DE BLOOM DE HABILIDADES DE PENSAMIENTO, este verbo pertenece a la

categora de sntesis, en la cual se busca juntar o unir, partes o fragmentos de conocimiento para formar un todo y construirrelaciones para situaciones nuevas. La definicin para este verbo es:

Establecer o poner en ejecucin un sistema, una institucin, una reforma, etc. Enfocar la solucin de un problema, llguese o no a obtenerla. Proponer, suscitar o exponer un problema matemtico, un tema, una dificultad o una duda.

Los verbos utilizados en los objetivos especficos presentados, pertenecen a categoras de habilidades de pensamiento anteriores ala de sntesis, estas son: anlisis, comprensin, comprensin y aplicacin, respectivamente.


16/134

CONFIDENCIAL 15

Distinguir los perfiles del personal dedicado al cmputo forense.

Proponer los procesos y procedimientos para la aplicacin de la metodologa, con

base en buenas prcticas internacionales y la normativa nacional en materia de

preservacin de evidencias.

Ilustrar en un modelo de flujo los procesos y las fases de la metodologa.

Enfoque, alcance y diseo de la Investigacin.

Para sta tesis se adopta un enfoque cualitativo a travs de la revisin de materiales

tericos, observacin, anlisis, modos de implementar y operar, sin aplicarse la cuantificacin.

El alcance ser descriptivo, teniendo como resultado del anlisis, las especificaciones

importantes de una metodologa.

El diseo de la investigacin es no experimental, no se construirn situaciones, sino que

se observarn situaciones ya existentes.

Por ltimo, la observacin es transversal, ya que los datos que se analizarn

corresponden al momento actual, describiendo las variables y su interrelacin, debido a que el

cmputo forense es una disciplina de reciente implementacin.

Importancia, Justificacin y Viabilidad

Dentro del marco en el que actualmente desarrolla sus actividades la SDN, muchas de

sus actividades estn soportadas por tecnologas de la informacin, el escenario actual no es el

mismo de hace 10 aos y con seguridad esto cambiar con los avances de la tecnologa. Los

avances tecnolgicos se dan da a da, por lo cual se establecen polticas para poder garantizar

los activos de las organizaciones, se capacita al personal; sin embargo, los delitos y los abusos

en las tecnologas de la informacin siguen cometindose, es aqu donde se comprende la

importancia de contar con una metodologa para la prosecucin de los delitos informticos.

Los ataques a la infraestructura informtica de la SDN son registrados en cantidades

sorprendentes, aunque a la fecha no han tenido xito se corre el riesgo de que al final sean

vulnerados. Ninguna organizacin en la actualidad puede garantizar que el personal con el que


17/134

CONFIDENCIAL 16

cuenta no ocasionar algn dao a los activos de su informacin, pero la actuacin contra estos

delincuentes debe ser apegada a derecho y basada en lineamientos metodolgicos, pues de no

ser as, se puede caer en el error de desviarse de la legalidad y hacer inefectiva una

investigacin. Por lo que, es conveniente contar con esta gua que nos de direccin en el cmo

actuar cuando una situacin, como las antes mencionadas, se presente.

En la medida en que la seguridad cubra los activos informticos de la SDN, sus misiones

y actividades estarn seguras. Sin olvidar que, por ser una institucin involucrada en la

Seguridad Nacional y por las misiones que tiene a su cargo la SDN, su actuacin beneficia a la

sociedad mexicana en su totalidad.

En la prctica, sta metodologa es una serie de pasos ordenados y estos proporcionan

una directriz para llevar a cabo el cmputo forense. Pero, esta puede ser perfeccionada a travs

de su aplicacin. Esta metodologa es pues, una propuesta para obtener mejores resultados, y

puede ser la base de futuras investigaciones en el campo del cmputo forense.

Tambin se busca hacer difusin a los conceptos y etapas del cmputo forense,

constituyendo una base para el proceder en esta disciplina. El proyecto de investigacin es

100% viable de materializar, ya que se cuenta con la informacin y materiales necesarios para

llevarlo a cabo.


18/134

CONFIDENCIAL 17

CAPTULO II

MARCO TERICO.

Generalidades.

Para el desarrollo del presente trabajo se tomaron como referencias fundamentales las

siguientes obras:

Mapa de Investigacin Forense Digital5(DFRWS).

Manual Bsico de Cateo y Aseguramiento de Evidencia Digital6.

Acuerdo nmero A/002/107 de 3 de febrero del 2010, publicado en el D.O.F., por la P.G.R.

Gua para integrar tcnicas forenses en la respuesta a incidentes8(NIST 800-86).

Gua para la respuesta inmediata en cmputo forense9.

Los documentos anteriores fueron revisados y entre otros temas, se encontraron

contenidos que nos permiten establecer lineamientos en cuanto a cadena de custodia, mejores

prcticas, recomendaciones, guas, definiciones y lineamientos en materia de seguridad.

Definiciones Conceptuales y Operacionales.

En el desarrollo del presente trabajo se utilizarn las siguientes definiciones:

Conceptuales:

Secretara de la Defensa Nacional.- Es una dependencia de la Administracin Pblica

Federal, tiene a su cargo el despacho de los asuntos que expresamente le confieren la Ley

Orgnica de la Administracin Pblica Federal y otras leyes, y los reglamentos, decretos,

acuerdos y rdenes del Presidente de la Repblica. (SDN, 2008).

5El Digital Forensic Research Workshop se dedica a compartir conocimiento e ideas acerca de la investigacin forense digital.Desde que se organiz el primer taller abierto forense digital en 2001, DFRWS contina integrando acadmicos y profesionalesen un ambiente informal. Como una organizacin de voluntarios sin fines de lucro, DFRWS patrocina conferencias anuales,

grupos de trabajo tcnicos y los retos para ayudar a impulsar la direccin de la investigacin y el desarrollo.6En este manual se plantea una forma para llevar a cabo procedimientos en un cateo. El autor es el Doctor Gabriel Andrs Campoli,Conferencista del Instituto Nacional de Ciencias Penales (INACIPE).

7En este acuerdo, emitido por el titular de la PGR, se establecen los lineamientos para que los servidores pblicos lleven a cabo lapreservacin y procesamiento en el lugar de los hechos e indicios, huellas o vestigios del hecho(s) delictuoso(s), as como de losinstrumentos, objetos o productos del delito.

8El Instituto Nacional de Estndares y Tecnologa (NIST, USA) es una agencia para la regulacin del Departamento de Comercio deUSA y su misin es promover la competitividad industrial en el avance de la ciencia, estndares y tecnologa para mejorar laseguridad econmica y la calidad de vida.

9El Instituto de Ingeniera de Software Carnegie Mellon (USA) trabaja con el gobierno, el DoD, la industria y con organizacionesacadmicas, con el fin de mejorar continuamente el software de cmputo y los sistemas basados en software.


19/134

CONFIDENCIAL 18

Metodologa: 1. f. Ciencia del mtodo. 2. f. Conjunto de mtodos que se siguen en una

investigacin cientfica o en una exposicin doctrinal. (Diccionario de la Real Academia

Espaola, 2010).

Cmputo forense: Serie metodolgica de procedimientos y tcnicas para obtener

evidencias de equipos de cmputo y medios de almacenamiento, los cuales son aplicados

cuando se investiga sobre crmenes cometidos por medio de tecnologas de la informacin,

para obtener las evidencias que puedan ser pruebas de acciones ilegales ante las autoridades

competentes. (EC-Council).

Evidencia o indicio: Son las huellas, vestigios y dems elementos materiales del hecho

delictuoso, que puedan encontrarse en el lugar de los hechos y/o lugar del hallazgo y que por

sus caractersticas existe la probabilidad de que tenga alguna relacin con la comisin del delito

que se investiga(Procuradura General de la Repblica., 2010).

Cadena de custodia: El procedimiento de control que se aplica al indicio material, ya sea

vestigio, huella, medio de comisin, objeto material o producto relacionado con el delito, desde

su localizacin por parte de una autoridad, polica o Agente del Ministerio Pblico, hasta que la

autoridad competente ordene su conclusin, segn se trate de la averiguacin previa o el

proceso penal.(Procuradura General de la Repblica., 2010)

Delito informtico: Toda conducta tpica, antijurdica y dolosa que utilice como medio

comisivo o como fin un sistema de procesamiento de informacin digital, o que involucre al

mismo como instrumento de almacenamiento de pruebas (Navarro Isla, 2005)

Registro de Cadena de Custodia (RCC).- Es el formato o formatos en el que se asentarn

nombres y firmas de los servidores pblicos y dems personas que de manera sucesiva

intervengan en la Cadena de Custodia, desde su inicio hasta su final, as como la descripcin

de los bienes, caractersticas de los mismos, lugar de los hechos y/o del hallazgo y dems

relativos y relevantes para la averiguacin previa (Procuradura General de la Repblica., 2010)


20/134

CONFIDENCIAL 19

Marco normativo: Legislacin y lineamientos derivados de la Constitucin Poltica de los

Estados Unidos Mexicanos, que debern observarse al plantear la implementacin, ejecucin y

la entrega de la informacin en un anlisis de cmputo forense.

Perfil profesional: Son las capacidades y reas de competencia del personal

perteneciente a la SDN para llevar a cabo las funciones y tareas en materia de cmputo

forense, asumiendo las responsabilidades que esto conlleva.

Operacionales:

Secretara de la Defensa Nacional.- Se emplear el marco normativo que rige a la

Secretara en el cumplimiento de sus actividades como mtrica para el cumplimiento legal. Se

analizarn las garantas requeridas de acuerdo con su reglamentacin vigente.

Metodologa: Para determinar la factibilidad de una metodologa o algn procedimiento de

esta se emplearan mtricas cualitativas con base a tablas de cumplimiento, procedimientos,

aspectos legales, perfil del personal, cumplimiento de buenas prcticas y recomendaciones

internacionales.

Evidencia o indicio: Se verificar en su recopilacin que se mantenga la integridad de las

mismas a travs de los lineamientos establecidos por la PGR

Delito informtico: Se analizar el marco normativo para tener el conocimiento de los tipos

de delitos del orden federal y en el mbito militar.

Registro de Cadena de Custodia (RCC): El registro de la cadena de custodia se verificar

de acuerdo a los lineamientos establecidos por la PGR y en lo referente a la evidencia digital, a

las buenas prcticas internacionales.

Marco normativo: Se verificarn los lineamientos aplicables a la SDN en materia de

cmputo forense.

Perfil profesional: Se establecern capacidades del personal dedicado al cmputo

forense, mediante la investigacin de perfiles de profesionales en la materia.


21/134

CONFIDENCIAL 20

Modelo de Investigacin

Para el desarrollo del presente trabajo se defini el siguiente modelo conceptual:

Requerimientos

legales

Cadena deCustodia

DelitosInformticos en

Mxico.

Huellas del delito

Aseguramiento delinculpado y

cateos.

Peritos.

Medios de Prueba

Marco normativoaplicable

Establecimiento

de los procesos

de la

metodologa

La evidenciaelectrnica.

Principios decriminalstica y de

Locard.

MetodologaDFRWS

Acuerdo A/002/10de la PGR.

El cmputoforense.

La criminalstica yel cmputo

forense.

Metodologa de

cmputo forense

para la SDN

Procesos.

Documentacin.

Procesos legalesen evidencias

vigentes.

Buenas prcticasinternacionales.

Aspectos legalesmilitares.

Procedimientos.

Figura 1. Modelo de investigacin.

Mediante el anlisis del marco normativo, las disposiciones en materia de cadena de

custodia, los principios de la criminalstica y la revisin de los delitos informticos, se

propondrn los requerimientos generales de la metodologa de cmputo forense (MCF).

Posterior a esta fase, mediante un anlisis de las buenas prcticas internacionales en evidencia

digital y pasos metodolgicos; se formular la propuesta de procesos y procedimientos, se

sintetizarn las fases de la MCF en un modelo. Finalmente se propone la MCF para la SDN.

Poblacin y Muestra.

Dentro de la poblacin se consideran las guas para llevar a cabo el cmputo forense y de

esta se seleccionarn como muestra cuatro guas10, para analizar sus ventajas, desventajas,

cumplimiento, factibilidad, alcances y la adecuacin de las mismas a la Institucin.

Instrumentos de Medicin.

Con el fin de obtener informacin de las variables, en este proyecto se emplearn:

cuadros comparativos para las guas de cmputo forense, leyes y disposiciones en materia de

evidencia y tablas correlacin de cumplimiento y componentes.

10Mapa de Investigacin Forense Digital (DFRWS), NIST 800-86, Gua para la respuesta inmediata en cmputo forense y ManualBsico de Cateo y Aseguramiento de Evidencia Digital.


22/134

CONFIDENCIAL 21

CAPTULO III

MARCO NORMATIVO APLICABLE.

Generalidades.

En este captulo se abordar la temtica normativa con el fin de identificar el marco

aplicable para el establecimiento de una metodologa de cmputo forense en la SDN. Para el

desarrollo de este captulo, se tomaron en consideracin disposiciones contenidas en los

siguientes documentos normativos:

Constitucin Poltica de los Estados Unidos Mexicanos (CPEUM).

Cdigo Penal Federal (CPF).

Cdigo Federal de Procedimientos Penales (CFPP).

Cdigo Federal de Procedimientos Civiles (CFPC).

Cdigo de Comercio (CC).

Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental

(LFTAIPG).

Ley de Seguridad Nacional (LSN).

Ley General del Sistema Nacional de Seguridad Pblica (LGSNSP). Ley del Mercado de Valores (LMV).

Legislacin Militar (LM).

Ley Federal de Derechos de Autor (LFDA).

Reglamento para la Coordinacin de Acciones Ejecutivas en Materia de Seguridad

Nacional (RCAEMSN).

Plan Nacional de Desarrollo 2007-2012 (PND).

Programa de Seguridad Nacional (PSN).

Programa Sectorial de Defensa Nacional 2007-2012 (PSDN).

Como resultado del anlisis del marco normativo, se puede establecer que:


23/134

CONFIDENCIAL 22

1. En toda accin que realicen las Fuerzas Armadas, es prioritario respetar las garantas

constitucionales, como son vida privada y los datos personales de los ciudadanos

(CPEUM).

2. Para poder garantizar la seguridad interior y defensa exterior de nuestro Pas, las

Fuerzas Armadas deben contar con herramientas tecnolgicas que permitan hacer

una investigacin completa en tecnologas de la informacin (LSN).

3. En nuestras leyes se incluyen los delitos informticos, modalidades y penas (CPF).

4. En el CFPP se establecen los lineamientos y responsabilidades para llevar a cabo una

investigacin, si las pruebas aportadas no se apegan a lo establecido, toda la

investigacin pueden carecer de validez, de aqu se establece que una metodologa

de cmputo forense debe estar apegada a estos lineamientos.

5. La LSN enlista las amenazas a la Seguridad Nacional y decreta responsabilidades en

el manejo de la informacin, intervencin de comunicaciones privadas y produccin de

inteligencia. Para lo cual se autoriza recabar, compilar, procesar y diseminar

informacin con fines de Seguridad Nacional y se otorga autonoma tcnica para

hacer uso de cualquier mtodo de recoleccin de informacin.

6. En la LGSNSP se otorgan atribuciones para que el titular de la SDN establezca los

instrumentos y polticas para cumplir los objetivos y fines de la Seguridad Pblica.

7. En la LFDA se dispone la proteccin de las obras pertenecientes al patrimonio

nacional, as como de autores nacionales y extranjeros. Para dar cumplimiento a esta

disposicin, en el PSDN, se contempla la proteccin la propiedad intelectual de

software, con mecanismos de seguridad11.

Dentro del marco normativo, en la prosecucin de los delitos informticos, es importante

definir algunos trminos y actores que participan en estos procedimientos, estos son:

11Ver APNDICE A ANLISIS DE LA NORMATIVA ACTUAL PARA LA APLICACIN DE UNA METODOLOGA DE CMPUTO

FORENSE PARA LA SDN.


24/134

CONFIDENCIAL 23

1. Delitos informticos.

2. Cadena de custodia.

3. Huellas del delito.

4. Aseguramiento del inculpado y cateos.

5. Peritos.

6. Medios de prueba.

1. Delitos informticos.

Las formas de cometer crmenes han evolucionando a la par del desarrollo tecnolgico,

los mecanismos empleados por delincuentes informticos se han convertido en negocios y

buscan obtener ventajas a travs de diferentes actividades ilegales, su vctima final es la

informacin de los usuarios y la economa e imagen de compaas u organizaciones (ESET

Latinoamrica., 2010). En la comisin de delitos informticos, como su nombre lo indica, se

involucra un sistema informtico como el medio, instrumento o mtodo de comisin, o siendo

este el objetivo del delito, por lo que los delitos se pueden clasificar en estas dos categoras12

En nuestro pas los delitos informticos estn tipificados en el CPF, titulo noveno

Revelacin de secretos y acceso ilcito a sistemas y equipos de informtica. En estos artculos

se establecen modalidades y las penas para delitos cometidos en un sistema de cmputo. Por

lo que respecta a la LM vigente, es importante anotar que en el Cdigo de Justicia Militar se

especifican las penas en lo que respecta a la falsificacin, fraude, la revelacin de informacin

militar reservada, el parte falso, ocultar la verdad, el expedir, certificar y presentar

documentacin falsa; la sustraccin, destruccin y ocultamiento de expedientes, documentos o

parte de ellos, se mencionan estos delitos porque es factible involucrar sistemas informticos en

la comisin de los mismos. En la misma legislacin, pero en el RGDM se advierte de

consecuencias a los militares, para evitar que sean cmplices de delitos contra los intereses de

la Patria o del Ejrcito.

12VerANEXO C CLASIFICACIN DE LOS DELITOS INFORMTICOS POR MEDIO U OBJETIVO DE COMISIN.


25/134

CONFIDENCIAL 24

Los principales delitos en que se involucran sistemas de informacin, tipificados en la ley

penal federal, son los siguientes13(Navarro Isla, 2005):

A. Delitos en vas generales de comunicacin.

B. Delitos por el Acceso Ilcito a Sistemas y Equipos de Informtica.

C. Ciberterrorismo y lavado de dinero.

D. Spam.

E. Delitos en materia de Propiedad Intelectual e Industrial.

F. Pornografa Infantil.

G. Delitos en materia de datos personales.

En el panorama normativo actual, los delitos cometidos desde sistemas de cmputo

pueden ser comprobados y llevados a juicio, pero el proceso no es sencillo; sin embargo, se

cuenta con leyes que tipifican estos delitos y, en particular, al interior de la organizacin, con la

legislacin militar para establecer responsabilidades en el caso que se presente una

investigacin de este tipo.

El delito informtico, segn el Licenciado Jorge Navarro Isla, Consultor para la

Conferencia de las Naciones Unidas en Comercio y Desarrollo (UNCTAD) y catedrtico del

CESNAV, es: Toda conducta tpica, antijurdica y dolosa que utilice como medio comisivo o

como fin un sistema de procesamiento de informacin digital, o que involucre al mismo como

instrumento de almacenamiento de pruebas(Navarro Isla, 2005).

Los delitos informticos presentan caractersticas que los distinguen de formas

tradicionales de cometer delitos (Valds Tllez., 2009):

A. Son ocupacionales, muchas veces se comenten en el trabajo.

B. Son de oportunidad, se aprovecha la ocasin, el campo de las funciones y la

organizacin de la economa y tecnologa.

C. Provocan serias prdidas econmicas o interrupciones de servicios.

13Ver APNDICE B DELITOS INFORMTICOS EN MXICO Y LEYES QUE LOS TIPIFICAN


26/134

CONFIDENCIAL 25

D. Se tiene la facilidad en tiempo y espacio, pueden ser del orden de milsimas de

segundo y no siempre se requiere de la presencia fsica.

E. Debido a la falta de regulacin a nivel internacional existen pocas denuncias.

F. Son sofisticados y frecuentes en el mbito militar.

G. Se presentan dificultades tcnicas para su comprobacin.

H. Son en su mayora dolosos o intencionales, pero tambin los hay culposos o

imprudenciales.

I. Pueden ser cometidos por menores de edad.

J. Debido a la propagacin del uso de sistemas de cmputo, se espera que esta

tendencia siga aumentando.

K. A los anterior se suma la dificultad de reprimir esta clase de delitos, en ocasiones

traspasan las fronteras de forma internacional.

Considerando que internet se presta para que se materialicen algunos de los postulados

anteriores, tenemos que segn la Asociacin Mexicana de Internet (AMIPCI), existen

aproximadamente 27.8 millones de usuarios de internet en Mxico, que lo utilizan en promedio

2.54 horas diarias. Esta encuesta muestra que despus del hogar, el mayor sitio desde donde

se obtiene acceso a internet es en el lugar de trabajo (AMIPCI, 2009). Lo cual debe tomarse en

consideracin para procurar medidas y evitar que en la SDN se cree algn escenario favorable

para estos riesgos.

2. Cadena de custodia.

De acuerdo con los artculos 123 Bis del CFPP, la preservacin de los indicios o de los

objetos del delito es responsabilidad directa de los servidores pblicos que entren en contacto

con ellos, por lo cual, en la averiguacin previa deber llevarse un registro con la identificacin

de las personas que intervengan en la cadena de custodia y estn autorizadas para reconocer y

manejar los indicios, huellas o vestigios del delito, as como instrumentos, objetos o productos


27/134

CONFIDENCIAL 26

del mismo. Esta cadena de custodia iniciar donde se recolecte la evidencia fsica y finalizar

por orden de autoridad competente.

Para cumplir con lo establecido en el artculo anterior, en el acuerdo nmero A/002/10

publicado con fecha 3 de febrero del 2010 en D.O.F. se establecen los lineamientos para que

los servidores pblicos preserven y procesen el lugar de los hechos y los indicios, huellas o

vestigios del hecho delictuoso, as como los instrumentos, objetos o productos del delito 14.

En Mxico la definicin para la cadena de custodia es: El procedimiento de control que se

aplica al indicio material, ya sea vestigio, huella, medio de comisin, objeto material o producto

relacionado con el delito, desde la localizacin por parte de una autoridad, polica o Agente del

Ministerio Pblico, hasta que la autoridad competente ordene su conclusin, segn se trate de

la averiguacin previa o el proceso penal.(Procuradura General de la Repblica., 2010)

3. Huellas del delito.

En el CFPP se establece que todos los instrumentos, objetos o productos de un delito, los

bienes en que existan huellas o pudieran tener relacin con ste, deben ser asegurados para

que no se alteren, destruyan o desaparezcan. Ello implica el seguimiento de la cadena de

custodia (Art.181). Para lo cual se deben tomar las medidas para evitar que los bienes

asegurados se destruyan, alteren o desaparezcan. Estos bienes no podrn ser enajenados o

gravados durante el tiempo que dure el aseguramiento en el procedimiento penal, salvo los

casos sealados por las disposiciones en la misma Ley (Art.182-C).

4. Aseguramiento del inculpado y cateos.

El CFPP establece que una persona puede ser detenida en el momento de cometer un

delito, si es perseguido, o inmediatamente despus de cometerlo si es sealado por la vctima.

Debiendo ser puesto inmediatamente a disposicin de la autoridad competente15, respetando en

todo momento sus derechos fundamentales (Artculo 193).

14Ver APENDICE F FORMATOS PARA LA APLICACIN DEL CFPP EN MATERIA DE CADENA DE CUSTODIAEN EVIDENCIA

DIGITAL.15Artculo 16 constitucional.


28/134

CONFIDENCIAL 27

Por la parte correspondiente a los cateos estos deben limitarse a la diligencia para la cual

fueron autorizados y en esto los testigos son una parte muy importante, de infringir las

disposiciones la investigacin no tiene valor (art. 61), Si durante el cateo se descubre un delito

distinto y es perseguido de oficio, se har constar en el acta que se levante (art. 66). Se

recogern los instrumentos y objetos del delito, libros, papeles o cosas que se encuentren, si se

consideran relacionados al delito o los delitos descubiertos. Se formarn inventarios de los

objetos recogidos. En el Cdigo de Justicia Militar, se especifican estos mismos procedimientos

y que son aplicados de manera similar a los miembros de la Fuerzas Armadas16.

5. Peritos

La palabra perito, tiene como origen el latn peritus y significa sabio, experimentado,

hbil; el diccionario la define como Persona que, poseyendo determinados conocimientos

cientficos, artsticos, tcnicos o prcticos, informa, bajo juramento, al juzgador sobre puntos

litigiosos en cuanto se relacionan con su especial saber o experiencia (Diccionario de la Real

Academia Espaola, 2010). El perito en cmputo forense es un experto en los detalles de

sistemas y las tecnologas de cmputo involucradas en una investigacin17

En el Cdigo Federal de Procedimientos Penales se contempla la participacin de peritos

con conocimientos especiales con el fin de poder dar una opinin en un rea de conocimiento

especial (Artculo 220). Ellos deben tener ttulo oficial en la ciencia o arte. (Artculo 223), se

establecen las situaciones ticas y responsabilidades en que puede caer un perito en caso de

no cumplir con su profesin. (Artculo 227 y 228). Estos son quienes emiten su dictamen por

escrito y, en caso de que existan opiniones diferentes en una opinin, se establecen las formas

para llegar a un acuerdo entre 2 peritos. Un perito puede participar en una diligencia si se le

16Cdigo de Justicia Militar - Cateos Arts. 482 al 490 y, Aprehensin y Detencin del 505 al 51517

VerANEXO D HABILIDADES NECESARIAS PARA UN ESPECIALISTA EN ANLISIS FORENSE


29/134

CONFIDENCIAL 28

requiere. En el mbito de la justicia militar los peritos practican sus diligencias de manera

similar, con apego a lo antes expuesto18.

6. Medios de prueba.

El Maestro Javier Pia y Palacios, destacado criminlogo, indicaba que [La] prueba es un

instrumento material o de razonamiento, o medio con el que se pretende mostrar o hacer

patente la verdad o falsedad de una cosa o hecho(Montiel, 2002).

En lo que se refiere a los medios de prueba, en el CFPP se admiten todo aquello que se

ofrezca como tal, siempre que pueda ser conducente, y no vaya contra el derecho, a juicio del

juez o tribunal. Cuando la autoridad judicial lo estime necesario, podr por algn otro medio de

prueba, establecer su autenticidad (Art. 206).

En lo que se refiere a la prueba, en el CFPC, se determina que el juez puede valerse de

cualquier persona, cosa o documento, que pertenezca a las partes o a un tercero, sin ms

limitaciones que las de que las pruebas estn reconocidas por la ley y tengan relacin inmediata

con los hechos controvertidos (Art. 79). Se reconocen como medios de prueba, entre otros,

documentos pblicos, los documentos privados, los dictmenes periciales, las fotografas,

escritos y notas taquigrficas, y, en general, todos aquellos elementos aportados por los

descubrimientos de la ciencia.(Art. 93). Se reconoce como prueba la informacin generada o

comunicada que conste en medios electrnicos, pticos o en cualquier otra tecnologa. Lo cual

es muy importante en el rea del cmputo forense, ya que esta es la materia en la que se

sustentan las acciones realizadas en un sistema de informacin digital. En este mismo artculo

se hace nfasis en el valor de la prueba tomndose como algo primordial la fiabilidad del

mtodo en que haya sido generada, comunicada, recibida o archivada. Tambin se especifica la

posibilidad de que esta se puede atribuir a personas y ser accesible para su ulterior consulta.

Se establece que si la Ley puede requerir que un documento sea conservado y presentado en

su forma original, bastar si se acredita que la informacin se ha mantenido ntegra e inalterada

18Cdigo de Justicia Militar.- De los peritosarts. Del 533 al 554.


30/134

CONFIDENCIAL 29

a partir del momento en que se gener por primera vez en su forma definitiva y sta pueda ser

consultada (Art. 210 -A).

En el CC se establece la admisibilidad como medio de prueba a todos aquellos elementos

que puedan producir conviccin en el juez de hechos controvertidos o dudosos, tomando como

pruebas, entre otras, las declaraciones de peritos, documentos pblicos o privados, fotografas,

facsmiles, cintas cinematogrficas, de videos, de sonido, mensajes de datos, y similares que

sirvan para averiguar la verdad. (Artculo 1205).

En la LMV se estableci desde el 4 de enero de 1990 una modificacin en la cual se

otorga valor probatorio a los mensajes de datos electrnicos si las partes convienen el uso de

medios electrnicos, de cmputo o de telecomunicaciones para el envo, intercambio y

confirmacin de las rdenes y dems avisos. Se establece el mismo valor para claves de

identificacin y la firma autgrafa, produciendo los mismos efectos que las leyes otorguen a los

documentos suscritos por las partes e igual valor probatorio (art. 200 fcs. II y V). La informacin

soportada en medios pticos, magnticos o de procesos telemticos producen los mismos

efectos que las leyes otorgan a los documentos originales, por lo cual tienen igual valor

probatorio (Arts. 209 y 418). Los mensajes de datos son reconocidos como prueba haciendo

nfasis en que se estimar primordialmente la fiabilidad del mtodo en que haya sido generada,

archivada, comunicada o conservada (Artculo 1298 -A).

Por lo que respecta a las atribuciones y deberes de los agentes del ministerio pblico

adscritos a juzgados militares, en el Cdigo de Justicia Militar, se establece que ellos recaban y

presentan las pruebas de un delito as como la probable responsabilidad de los indiciados(Art.

83 ).

Segn lo dispuesto en el CFPP, las comunicaciones entre particulares pueden utilizarse

como pruebas en un proceso legal siempre y cuando cumplan con lineamientos establecidos

(Art. 278 Bis.):

Si son obtenidas directamente por alguno de los participantes en la misma.


31/134

CONFIDENCIAL 30

Las comunicaciones que obtenga alguno de los participantes con el apoyo de la

autoridad, siempre que conste de manera fehaciente la solicitud previa de apoyo del

particular a la autoridad.

Las que no violen el deber de confidencialidad que establezca la Ley.

Se cuente con el consentimiento expreso de la persona con quien se guarda el deber

de confidencialidad.

Las proporcionadas por empresas concesionarias y permisionarias del servicio de

telecomunicaciones o de internet, por solicitud de la autoridad.

Conclusiones del captulo.

De lo anterior se puede concluir que existen bases legales suficientes, as como

programas federales que permiten la implementacin de una metodologa de cmputo forense

para la obtencin de evidencias en la SDN, y que esta puede sustentar las pruebas en la

comprobacin de delitos informticos. Los delitos informticos son relativamente nuevos y por

sus caractersticas y naturaleza son complejos de cometer y de comprobar, por lo que se

requiere de peritos en materia que determinen e identifiquen las huellas de estos delitos y

faciliten los medios de prueba de su comisin. Debido a la fragilidad de las evidencias su

manejo debe registrarse en una cadena de custodia, de no ser as la investigacin nulifica su

efectividad. Por lo que respecta a las personas involucradas en cualquier delito, estas deben ser

tratadas con restricto apego a la Ley, respetando sus garantas individuales.


32/134

CONFIDENCIAL 31

CAPTULO IV

EL CMPUTO FORENSE.

Generalidades.

El cmputo forense es una ciencia auxiliar, relativamente reciente en la justicia moderna

que actualmente representa un reto tanto a especialistas en el cmputo forense por su

complejidad, como para los criminalistas y administradores de la justicia, debido a que estas

evidencias digitales deben apegarse a los procedimientos bsicos de la criminalstica y al marco

legal establecido19. Por lo cual, los criminalistas deben aplicar nuevas habilidades que incluyan

a la evidencia obtenida en el cmputo forense para poder esclarecer un caso y reconstruir la

manera en que se sucedieron los hechos (Martnez, 2009).

La criminalstica y el cmputo forense.

La criminalstica es una ciencia multidisciplinaria, que rene conocimientos generales,

sistemticamente ordenados, verificables y falibles. Tiene como objeto el estudio tcnico de

evidencias materiales de hechos presuntamente delictuosos para resolver las interrogantes que

surjan en un caso, conocer su forma de realizacin, instrumentos u objetos utilizados en l y

lograr la identificacin del autor(es) y dems involucrados. (Montiel, 2002)

En esencia el cmputo forense es diferente de la mayora de las disciplinas forenses

tradicionales. Los exmenes de cmputo se pueden realizar prcticamente en cualquier

ubicacin fsica y no slo en el entorno controlado de un laboratorio. En lugar de producir

conclusiones interpretativas, como en muchas disciplinas forenses, la informtica forense

produce informacin directa y datos que pueden ser importantes en un caso legal. Como

disciplina forense, no hay algo que tenga este potencial desde el descubrimiento del DNA como

lo es la ciencia en cmputo forense en ciertos tipos de investigacin y acciones judiciales (Albert

J. Marcella Jr., 2008).

19Ver ANEXO E ACONTECIMIENTOS HISTRICOS EN CMPUTO FORENSE.


33/134

CONFIDENCIAL 32

El cmputo forense combina elementos legales y de la ciencia computacional para

recolectar y analizar los datos de sistemas de cmputo, redes, comunicaciones inalmbricas, y

dispositivos de almacenamiento de manera que sean admisibles como evidencias en un tribunal

de justicia. En el proceso de cmputo forense se usa el mtodo cientfico para recolectar,

analizar y presentar la evidencia ante los administradores de justicia. La palabra forense

significa traer ante la corte. Por ser una disciplina relativamente nueva, y no est reconocida

como una disciplina cientfica formal, falta estandarizacin y consistencia para el proceder de

los administradores de justicia y organizaciones.

Tabla 1

Preguntas resueltas por la criminalstica y por el cmputo forense.

Preguntas resueltas por la criminalstica. Preguntas resueltas por el cmputo forense.1. Qu sucedi? 1. Qu fue lo que sucedi?2. Cmo sucedi el hecho? 2. Cmo sucedi?3. Dnde sucedi el hecho? 3. Donde ocurri?4. Cundo sucedi el hecho? 4. Cundo ocurri?5. Con que sucedi el hecho? 5. Aqu el campo se reduce a las TI6. Por qu sucedi el hecho? 6. Por qu ocurri?7. Quin realiz el hecho? 7. Quin pudo haberlo hecho?

Nota: En ambas ciencias se busca dar contestacin a las mismas interrogantes, en el cmputo

forense estas cuestiones resuelven hechos cometidos en sistemas de cmputo y TI20.

El principio de intercambio de Locard21en el cmputo forense.

Tomando como base este principio fundamental del anlisis forense moderno se

interpreta que, desde el punto de vista de la evidencia digital, cuando un equipo sospechoso

ataca a otro equipo vctima, se produce transferencia de evidencia digital. El equipo sospechoso

toma datos digitales del equipo vctima y a su vez deja datos digitales en l. La escena del

crimen es el rea desde la cual se ha llevado este intercambio y dependiendo del grado del

20APNDICE C EL CMPUTO FORENSE COMO RAMA DE LA CRIMINALSTICA.21

A finales de 1800, el Doctor Edmond Locard desarroll la teora que es la base del anlisis forense moderno. En este se enunciaque: Cuando una persona entra en contacto con otra persona, objeto o lugar, se produce transferencia de evidencia fsica. Estosignifica que la persona quita del objeto y deja algo en el objeto de contacto. Las posibilidades de este intercambio son ilimitadas.


34/134

CONFIDENCIAL 33

ataque son las evidencias fsicas utilizadas y las evidencias digitales intercambiadas (Mozayani,

2006).

Figura 2. Interpretacin grafica del Principio de Locard en un delito informtico (Mozayani,

2006).

Los principios aplicados por la criminalstica, con el enfoque al cmputo forense.

En la bsqueda de las respuestas a las interrogantes para resolver un caso, la

criminalstica general utiliza una metodologa acorde al caso, apoyada en siete principios

cientficamente estructurados y comprobados (Montiel, 2002). Aplicando estos principios en el

cmputo forense, se puede verificar y decidir sobre los fenmenos que involucran a las

personas y sistemas de cmputo en lo que se refiere a delitos informticos22.

La evidencia electrnica.

Como se puede observar, para nuestras leyes prcticamente cualquier informacin es

admisible en un proceso judicial, si esta es conducente y no va contra derecho, a juicio del juez

o del tribunal, pero si la autoridad lo determina podr someterlo a pruebas de autenticidad.

La evidencia electrnica o digital es el conjunto de datos e informacin de valor para una

investigacin que esta almacenada o es transmitida por un medio electrnico. Esta evidencia se

obtiene cuando los datos o los equipos fsicos son recolectados y almacenados para propsitos

de evaluacin (National Institute of Justice, 2001).

22Estos principios son: de uso, de produccin, de intercambio, de correspondencia de caractersticas, de reconstruccin defenmenos, de probabilidad y de certeza. VerAPNDICE D LOS PRINCIPIOS DE LA CRIMINALSTICA CON EL ENFOQUE ALCMPUTO FORENSE.


35/134

CONFIDENCIAL 34

La evidencia electrnica no es visible en su estado natural, ya que se encuentra contenida

en los medios electrnicos. Se encuentra presente en la misma forma que las huellas digitales o

las estructuras de DNA, es decir, no es fcil de identificarla, se requiere de equipos y software

especializados para poder hacerla visible. La evidencia obtenida de equipos de cmputo debe

tratarse como otros tipos de evidencia, manejarse con cuidado para preservar su integridad,

tanto fsica como en los datos; es frgil, puede ser alterada, daada o destruida por el manejo

inadecuado o una examinacin impropia. Una falla puede hacerla intil o llevar a emitir una

conclusin inexacta. Debido a su naturaleza se presentan desafos especiales para su

admisibilidad en una corte (Albert J. Marcella Jr., 2008).

Entre los elementos que hacen de la evidencia digital un desafo ante una corte, estn

(Martnez., 2009):

A. Es voltil

B. Es annima.

C. Es duplicable.

D. Es alterable.

E. Es eliminable.

Debido a las implicaciones legales, es necesario que la evidencia guarde los siguientes

aspectos (Network Working Group, 2002):

A. Admisible: Conforme a las normas legales.

B. Autntica: Debe ser posible relacionar la evidencia material al incidente que se trate.

C. Completa: Debe cubrir la historia complete no solo puntos de vista particulares.

D. Confiable: No debe existir dudas en la forma de recoleccin y tratamiento de la evidencia

que pongan en duda su autenticidad y veracidad.

E. Creble: Debe ser fcilmente comprensible y creble por un tribunal.

Existen esfuerzos por parte de organizaciones internacionales con el objeto de

estandarizar y establecer guas para la recuperacin, preservacin y evaluacin de la evidencia


36/134

CONFIDENCIAL 35

digital23, mismos que han servido como recomendaciones y bases para trabajos en materia por

otros pases24 Estos implican la consistencia los sistemas jurdicos, la estandarizacin de los

trminos del lenguaje, la durabilidad de los procesos, el poder traspasar las fronteras en la

prosecucin de los delitos y darle el valor a la evidencia digital en todos los niveles

organizacionales (estos fueron propuestos por la Organizacin Internacional en Evidencia de

Cmputo -IOCE, por sus siglas en ingles-).

Modelo en cmputo forense DFRWS y lineamientos del acuerdo nmero A/002/10.

En el ao 2001, el Digital Forensic Research Workshop (DFRWS), realiz un trabajo

multidisciplinario, donde se estableci un modelo para investigacin de cmputo forense, el cual

consiste de siete etapas, cada una contiene los trabajos relacionados con el cumplimiento de la

etapa (Digital Forensic Research Workshop, 2001).

En la parte nacional, el 3 de febrero del 2010 (D.O.F.), se public el acuerdo nmero

A/002/10 donde se establecen los lineamientos para la preservacin y proceso en el lugar de

los hechos, indicios, huellas o vestigios del hecho delictuoso, as como instrumentos, objetos o

productos del delito. Este acuerdo tiene como objetivo general establecer e implementar los

procesos, procedimientos legales y tcnico-cientficos, realizados por los integrantes de las

Instituciones Policiales y los peritos en auxilio del Agente del Ministerio Pblico de la Federacin

y que son necesarios para garantizar la preservacin del lugar de los hechos, del hallazgo y de

los indicios o evidencias, en la integracin de la averiguacin previa. Aunque este ordenamiento

se enfoca a la evidencia fsica, a travs de la identificacin de procesos y procedimientos

adecuados para el manejo de la evidencia electrnica se busca, en este trabajo, preservar la

evidencia electrnica apegados a la normativa mencionada.

23Ver ANEXO F PRINCIPIOS INTERNACIONALES EN EVIDENCIA DE CMPUTO.

24El G-8, el IOCE y los delegados de la Conferencia Internacional Forense y de Crmenes de Alta Tecnologa han reconocido la

necesidad de confiar en el intercambio de pruebas digitales en materia de aplicacin transnacional, por lo que estos principios sonla base para el establecimiento de las prcticas universales, que garanticen la continuidad y fiabilidad de las evidencias que seintercambiarn entre entidades legales.


37/134

CONFIDENCIAL 36

Figura 3. Fases del modelo de cmputo forense del DFRWS y de los lineamientos del acuerdo

A/002/10.

Armonizacin de los dos modelos de estudio considerados.

Debido a la correspondencia de sus procesos, se consider tomar como referencia el

modelo de Digital Forensic Research Workshop y los lineamientos del acuerdo nmero

A/002/10 con el fin de poder establecer el modelo metodolgico para llevar un trabajo

coordinado y eficiente en materia de cmputo forense, garantizando la certeza jurdica, la

seguridad y la legalidad en una metodologa para la SDN25

25Ver ANEXO J MODELOS DE INVESTIGACIONES EN CMPUTO FORENSE.

Identificacin Preservacin

RecoleccinExmen

Anlisis Presentacin

Decisin


38/134

CONFIDENCIAL 37

Conocimiento de la comisin deun delito informtico.

Preservacin del lugar de loshechos y/o del hallazgo.

Identificacin, ubicacin y fijacinde los indicios o evidencias.

Recoleccin, embalaje y trasladode los indicios o evidencias

Integracin de la averiguacinprevia en la cadena de custodia.

Integracin de la averiguacinprevia en la cadena de custodia.

Responsabilidades en la cadenade custodia.

Prdida de indicios o evidencias

Solicitud de dictmenes pericialesde los indicios o evidencias

Realizacin de pruebas periciales

Almacenamiento de indicios oevidencias.

Terminacin de la Cadena deCustodia

IDENTIFICACION. Deteccin de un crimen. Identificacin de una firma (IDS). Deteccin de un perfil. Deteccin de anomalas. Denuncia. Sistema de monitoreo. Anlisis de una auditora.

PRESERVACION. Manejo del caso. Cadena de custodia. Tiempo de sincronizacin. Imgenes.

RECOLECCIN.

Preservacin. Mtodos aprobados. Software aprobado. Hardware aprobado. Autoridad legal. Prdida de compresin. Muestreo. Reduccin de datos. Tcnicas de recuperacin.

EXMEN. Preservacin. Seguimiento. Tcnicas de validacin. Filtrado. Patrones de bsqueda. Bsqueda de datos ocultos. Extraccin de datos ocultos.

Decisin.

PGR Acuerdo A/002/10 DFRWS

ANLISIS. Preservacin. Seguimiento. Estadstica. Protocolos. Reduccin y bsqueda

de datos. Lnea del tiempo. Enlaces. Percepcin espacial.

PRESENTACIN Documentacin. Testimonio de expertos. Aclaraciones. Establecimiento del impacto. Contramedidas recomendadas. Interpretacin estadstica.

Figura 4. Armonizacin del modelo de cmputo forense de DFRWS y de los lineamientos

federales en materia de evidencias.


39/134

CONFIDENCIAL 38

CAPTULO V

METODOLOGA DE CMPUTO FORENSE PARA LA SDN26.

Por medio de la armonizacin del modelo de cmputo forense de DFRWS, de los

lineamientos federales en materia de evidencias, lo establecido en los Cdigo de Justicia Militar

y las buenas prcticas internacionales en materia de cmputo forense, se proponen los

siguientes procesos, mismos que se complementan con procedimientos para materializar una

metodologa de cmputo forense para la SDN27, estos se apoyan en formatos de

documentacin que se incluyen para llevar registros de cadena de custodia, cuestionarios para

investigar delitos o incidentes en cmputo, metodologa general de la criminalstica con el fin de

mantener la evidencia fsica de hallazgos y objetos, recomendaciones de expertos y buenas

prcticas internacionales:

PROCESO 1. CONOCIMIENTO DE LA COMISIN DE UN DELITO INFORMTICO.

PROCESO 2. PRESERVACION DEL LUGAR DE LOS HECHOS Y/O DEL HALLAZGO.

PROCESO 3. PROCESAMIENTO DE LOS INDICIOS O EVIDENCIAS DEL DELITO

INFORMTICO.

PROCESO 4. INTEGRACIN EN LA AVERIGUACION PREVIA DE LA CADENA DE

CUSTODIA.

PROCESO 5. RESPONSABILIDADES EN LA CADENA DE CUSTODIA.

PROCESO 6. PRDIDA DE INDICIOS O EVIDENCIA DIGITAL.

PROCESO 7. DE LOS SERVICIOS PERICIALES.

PROCESO 8. REALIZACIN DE LAS PRUEBAS PERICIALES.

PROCESO 9. ALMACENAMIENTO DE LOS INDICIOS O EVIDENCIA DIGITAL. PROCESO 10. TERMINACIN DE LA CADENA DE CUSTODIA.

26Ver APNDICE E METODOLOGA DE CMPUTO FORENSE PARA LA SDN Y DIAGRAMA DE FLUJO GENERAL DE LAMETODOLOGA PARA OBTENCIN DE EVIDENCIAS PARA LA SDN.

27Id.


40/134

CONFIDENCIAL 39

CAPTULO VI

ANLISIS E INTERPRETACIN DE RESULTADOS.

Como se puede observar en las tablas de correlacin de procesos de la MCF para la

SDN28, los procesos que integran la metodologa propuesta corresponden con los lineamientos

ordenados a nivel federal en el acuerdo nmero A/002/10, en la misma tabla tambin se

observa que existe una correlacin con los procesos de la metodologa general de anlisis de

cmputo forense de la Digital Forensic Research Workshop (DFRWS), as como con los

contenidos del Cdigo de Justicia Militar, que es la base legal de la prosecucin de delitos

cometidos en las Fuerzas Armadas (Ejrcito, Fuerza Area y Armada nacionales). En las

citadas tablas tambin se observan materiales de apoyo y procedimientos que fueron

desarrollados exprofeso para este trabajo desde el punto de vista de la evidencia digital. Debido

a esta correspondencia de procesos y considerando que cumple con los puntos establecidos a

nivel federal para el manejo de las evidencias, se afirma la hiptesis de este trabajo de

investigacin, la cual se cita:

Una metodologa de cmputo forense para la SDN que cumpla con los requisitos del

marco normativo y que incluya procesos y procedimientos basados en los lineamientos de

cadena de custodia vigentes, y que contemple en su implementacin las buenas prcticas

internacionales en materia de evidencia digital, coadyuvar a mantener la integridad de la

evidencia digital durante el proceso legal, para la determinacin de responsabilidades por actos

ilcitos cometidos por medio de tecnologas de la informacin.

28APENDICE G ANLISIS E INTERPRETACIN DE RESULTADOS.


41/134

CONFIDENCIAL 40

CAPTULO VII

CONCLUSIONES, SOLUCIONES Y RECOMENDACIONES.

Si bien existen programas y lineamientos en materia de evidencias fsicas, todava falta

estandarizar los procedimientos en materia de evidencia electrnica.

A medida que se siga expandiendo el uso de las TICs en las actividades humanas, va a

ser ms necesario contar con el personal, las herramientas y los procedimientos para

establecer responsabilidades en materia de delitos informticos.

Aunque todava manifiestan los expertos, que es difcil llevar el rea digital como

evidencia en un juicio, en este trabajo de investigacin se toman el marco normativo existente

en evidencia fsica, los avances en legislacin informtica, las buenas prcticas internacionales

en evidencia digital y los principios criminalsticos para establecer que legalmente es posible

garantizar las evidencias digitales que resulten de un delito informtico.

En el ambiente nacional actual, la fuga de informacin digital es algo comn y costoso a

organizaciones pblicas y privadas, por lo que es necesario tomar medidas para que estos

ataques sean controlados e identificados los agresores. Pero es aun ms necesario el dar

seguimiento y castigar a aquellos que cometen delitos.

El trabajo desarrollado es una solucin general para identificar delitos y autores de estos

por medio de TICs, solo resta fomentar la cultura y afirmar los conceptos de delitos

informticos entre aquellos que estn encargados de aplicar las leyes.

El anlisis del marco legal demuestra que con las leyes vigentes se puede dar

seguimiento y castigar delitos informticos. Por lo anterior, se recomienda que este trabajo sea

validado por los expertos en materia legislativa militar y sirva como una base para las futuras

investigaciones en la materia.

Existen los lineamientos federales en materia de conservacin de la evidencia, lo cual

puede ser un sustento en lo que se refiere al manejo de la evidencia digital, como se expuso en

este trabajo, por lo que se recomienda que las autoridades judiciales y administrativas de la


42/134

CONFIDENCIAL 41

SDN difundan la aplicacin de los lineamientos mencionados tanto en evidencia fsica como en

evidencia digital con el fin de no verse involucrados en algn aspecto de tipo legal.

Finalmente, se recomienda promover la cultura del cmputo forense en las unidades,

dependencias e instalaciones de la SDN para que se tenga el conocimiento que cualquier

actividad llevada a cabo desde sistemas de informacin, puede ser detectada y monitoreada.


43/134

CONFIDENCIAL 42

BIBLIOGRAFA Y LISTA DE REFERENCIAS.

1. ACPO. (2009). Good Practice Guide for Computer-Based Electronic Evidence.2. Albert J. Marcella Jr., D. M. (2008). Cyberforensics.NW: Auerbach Publications.3. AMIPCI. (Mayo de 2009). Hbitos de los Usuarios de Internet en Mxico. Mxico.4. Cmara de Diputados del H. Congreso de la Unin. (2005). Ley de Seguridad Nacional.

Mxico.

5. Campoli., G. A. (2006). Manual bsico de cateo y aseguramiento de evidencia digital.Mxico: INACIPE.

6. Casey, E. (2004). Digital Evidence and Computer Crime: Forensic Science, Computers,and the Internet.Elsevier Academic Press.

7. Chris Prosise, K. M. (2003). Incident Response & Computer Forensics.McGraw-Hill/Osborne.

8. Computer Security Institute. (2008). 2008 CSI Computer Crime & Security Survey.EE.UU.AA.

9. Conferencia de las Naciones Unidas sobre Comercio y Desarrollo. (Junio de 2009).Estudio sobre las perspectivas de la armonizacin de la ciberlegislacin en AmricaLatina.

10. DFRWS. (2001). A Road Map for Digital Forensic Research. New York, Uttica,

EE.UU.AA.11. Diccionario de la Real Academia Espaola. (14 de enero de 2010). Real Academia

Espaola.Recuperado el 14 de enero de 2010, de Real Academia Espaola:http://buscon.rae.es/draeI/

12. Diccionario de la Lengua Espaola. (s.f.). DICCIONARIO DE LA LENGUA ESPAOLA -Vigsima segunda edicin. Recuperado el 27 de 02 de 2010, de http://www.rae.es/.

13. Digital Forensic Research Workshop. (6 de 11 de 2001). A Road Map for Digital ForensicResearch. New York, Utica.

14. Douglas Barbin, C. C. (20 de febrero de 2010). ISACA.Recuperado el 20 de febrero de2010, de www.isaca.org:http://www.isaca.org/Content/ContentGroups/Member_Content/Journal1/20023/Computer_Forensics_Emerges_as_an_Integral_Component_of_an_Enterprise_Information_Assu

rance_Program.htm15. EC-Council. Computer Hacking Forensic Investigator V.3 Volume 1.EC-Council.16. ESET Latinoamrica. (5 de abril de 2010). Costos del negocio delictivo encabezado por

el crimeware. Buenos Aires,, Argentina.

metodologia de computo forense

Documents