TEMA 16. PERICIA INFORMÁTICA
1. IN T R O D U C C I Ó N
En la actualidad el uso de las tecnologías TIC, se hace presente como una realidad transversal en cualquier tarea técnica o intelectual
que realicemos. Utilizamos multitud de dispositivos y tecnologías para comunicarnos y realizar un sinfín de tareas cotidianas. Tareas
como mandar correos electrónicos, WhatsApp, consultar las noticias, realizar informes, trabajos, apuntes, seguimiento de cursos, de
noticias, incluso trámites.
Este seguimiento de trámites es fundamental para nuestro devenir personal y profesional, firmas de contratos, trámites administrativos,
transacciones, movimientos, consultas bancarias y un largo etc. Todas estas acciones finalmente son realizadas a través de un dispositivo
informático (teléfonos móviles inteligentes, tabletas, ordenadores de escritorio, ordenadores portátiles, relojes inteligentes, terminales de
pago automático, cajeros automáticos, etc.)
Cuando sucede un ilícito en el que se ha visto implicado un medio informático; bien como medio o como fin en una causa judicial. Se
hace preciso acudir a la informática forense para poder esclarecer aspectos de interés en la causa. Recordemos que un análisis forense
ha de responder idealmente a las preguntas ¿Qué?, ¿Dónde?, ¿Quién?, ¿A quién?, ¿Cómo?, ¿Cuándo? y ¿Por qué? de un ilícito, a partir del
estudio de unos vestigios que se revelan como indicios, que se han constituido como evidencias y podrán elevarse a la categoría de
prueba en el plenario.
En la actualidad la realización de un análisis forense, sobre medios informáticos es lo que se conoce como “Informática Forense” o una
“Pericial Informática”.
La realización de la misma constituye una rama del conocimiento científico y técnico muy especializada. Constituyen una disciplina más
de las ciencias criminalísticas, que está relacionada, a su vez, con otras múltiples ramas de la ciencia y la técnica. El derecho, la
psicología, la criminología, la sociología, las telecomunicaciones, la electrónica, la lingüística; entre otras, no son ajenas a la colaboración
con la informática forense.
Las técnicas, procedimientos, métodos y herramientas no se circunscriben solamente a las causas judiciales. Estas son ampliamente
utilizadas tanto a nivel profesional y comercial en la industria, el comercio como en la vida personal.
Técnicas como análisis de seguridad (mediante programas antimalware, actualizaciones de programas y sistemas operativos) o
recuperación de información borrada (programas especializados de recuperación, de mantenimiento de sistemas, empresas
especializadas en la recuperación de información borrada o de dispositivos en mal estado) son muestras de ello.
No es extraño en cualquier empresa que sus técnicos informáticos tengan que revisar archivos de registro de eventos (archivos logs)
para poder determinar qué causó el fallo, o si éste se sigue produciendo, dónde, quién se ve afectado, etc.
Se verán en esta sesión, conceptos ya vistos como fases en el proceso de un análisis forense o la adquisición de evidencias, desde un
punto de vista más cercano a la pericia informática. De la misma forma, se verán algunas técnicas y herramientas utilizadas en la
realización de una pericial informática.
2. C O N C EP TO S R E L A C I O N A D O S C O N LA P ER IC IA IN F O R M Á T IC A .
Para el correcto seguimiento de esta unidad deberemos previamente relacionar una serie de conceptos básicos, como son los siguientes:
- Clon o Copia forense electrónica: Copia bit a bit de la información contenida en un dispositivo (evidencia digital o soporte físico
donde se encuentra la misma) en otro dispositivo sobre el que se realizará los análisis y estudios de la información.
- Imagen forense electrónica o Imagen forense: Copia bit a bit de la información contenida en un dispositivo (evidencia digital o
soporte físico donde se encuentra la misma) en un archivo informático (con unas características especiales) sobre el que se
realizará los análisis y estudios de la información.
- Clonadora: Dispositivo físico que permite la realización del “clon” o de la “imagen forense” protegiendo de forma física contra
escritura o modificación el dispositivo donde se encuentra la evidencia digital.
- Resumen digital o Hash: Es el resultado alfanumérico que se obtiene al aplicar a un algoritmo criptográfico de resumen digital a
la información contenida en un dispositivo o en un archivo lógico. Entre los algoritmos criptográficos más usados se encuentran
el SHA-1, SHA-2, en menor medida el MD-5 y ya en desuso los CRC-32 y CRC-16.
- Borrado Seguro (WipeOut), es el borrado de la información de un dispositivo de tal forma que no pueda recuperarse la
información que estaba previamente. Esto se consigue mediante la sobreescritura de toda la capacidad del dispositivo varias
veces. Se considera seguro formalmente en entornos militares, siete veces. En informática forense no es preciso tantas veces.
Siendo dos pasadas más que suficiente. En la práctica consistiría en grabar en el dispositivo sobre el que se vaya a realizar el
clon o la imagen, un patrón de información fijo que el analista conozca y que le haga comprender que hasta ahí está la
información de la evidencia digital. Tradicionalmente se graba toda la capacidad del dispositivo destino (copia clon) con ceros,
se denomina “puesta a ceros”.
- Evidencia digital: «Es un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos que pueden
ser recolectados y analizados con herramientas y técnicas especiales.» (Eoghan Casey, 2000).
, - Metadatos: Es información que se encuentra incrustada dentro del propio archivo (oculta) y aporta información adicional,
(fecha y usuario que la creó, cuando se modificó o se imprimió, las revisiones, el dispositivo que se utilizó, características
técnicas, etc.). Así, los libros o documentos electrónicos en formato Acrobat PDF contiene incrustada información sobre el autor,
el título, la fecha en que creó, con que aplicación, etc.; Las fotografías y videos digitales contienen información sobre la imagen
o video (marca y el modelo del dispositivo con que se tomaron, fecha en que se realizó, o el software empleado en su
realización o manipulación). Igualmente, las cabeceras de los mensajes de correo también constituyen metadatos, y muestran
información sobre el emisor y el receptor de mensaje, el camino seguido por los servidores hasta destino.
3. R E S UM E N D E L P R O C ED IM IE N T O D E UN A P ER IC IA IN F O R M Á T IC A
Podría resumirse todo el proceso desde que se tiene el conocimiento del hecho que se quiere estudiar, normalmente un ilícito que será
presumiblemente objeto de un proceso judicial. Estas acciones pasan por las actuaciones en la escena y el trabajo en laboratorio. Así
entre las primeras tendremos el aseguramiento de la escena, la identificación de las evidencias (en este caso evidencias digitales), su
captura o recolección. Entre las segundas tendremos la preservación de esas evidencias, su estudio o análisis y la presentación de los
resultados. Se puede representar gráficamente de la siguiente forma:
La fase de análisis o pericia informática de la información se podría a su vez establecer como un proceso metódico y sistemático en el
que se van pasando por distintas fases, para su realización. La realización de cada fase será objeto de técnicas, herramientas y
procedimientos que dependen de la naturaleza y tecnologías empleadas en las evidencias digitales objeto de estudio. Su representación
gráfica de las fases normalizadas que lo componen puede verse en la siguiente imagen.
4. LA E VI D E N C I A D I GI T A L.
En el estudio de esta unidad entenderemos la evidencia digital como “Todo elemento que pueda almacenar información en formato
electrónico de forma física o lógica que permita constatar un hecho investigado o el esclarecimiento del mismo.” Algunos ejemplos,
pueden ser:
- Un documento electrónico, una imagen, un archivo de video, etc.
- Archivos en la Papelera de reciclaje, ficheros temporales.
- Las cachés de los navegadores, cookies en la carpeta de trabajo del navegador.
- Usuarios activos del sistema operativo. Sesiones activas.
- Una línea de texto en un archivo “.log” de algún dispositivo de red.
- La fecha y hora de último acceso, de creación o de borrado de un fichero.
- Una dirección MAC en una tabla ARP, una dirección IP.
- El tiempo desde que se arrancó un sistema.
- Un proceso en ejecución, los archivos «*.Dll» cargados en el sistema, etc.
- Los procesos en ejecución residentes en la memoria.
4 . 1 . P R O P IE D A D E S D E SE A B LE S A L A D Q UI R IR UN A E V ID EN C IA D I GI T A L.
La Evidencia digital debe :
- Ser Relevante: relacionada con el hecho o el delito investigado.
- Estar Permitida legalmente, obtenida respetando el ordenamiento jurídico.
- Ser Confiable, no haber sido alterada o modificada.
- Estar Identificada, claramente reseñada y etiquetada, sin error.
- Ser Preservada, no dañada o destruida.
1. IN T R O D U C C I Ó N
En la actualidad el uso de las tecnologías TIC, se hace presente como una realidad transversal en cualquier tarea técnica o intelectual
que realicemos. Utilizamos multitud de dispositivos y tecnologías para comunicarnos y realizar un sinfín de tareas cotidianas. Tareas
como mandar correos electrónicos, WhatsApp, consultar las noticias, realizar informes, trabajos, apuntes, seguimiento de cursos, de
noticias, incluso trámites.
Este seguimiento de trámites es fundamental para nuestro devenir personal y profesional, firmas de contratos, trámites administrativos,
transacciones, movimientos, consultas bancarias y un largo etc. Todas estas acciones finalmente son realizadas a través de un dispositivo
informático (teléfonos móviles inteligentes, tabletas, ordenadores de escritorio, ordenadores portátiles, relojes inteligentes, terminales de
pago automático, cajeros automáticos, etc.)
Cuando sucede un ilícito en el que se ha visto implicado un medio informático; bien como medio o como fin en una causa judicial. Se
hace preciso acudir a la informática forense para poder esclarecer aspectos de interés en la causa. Recordemos que un análisis forense
ha de responder idealmente a las preguntas ¿Qué?, ¿Dónde?, ¿Quién?, ¿A quién?, ¿Cómo?, ¿Cuándo? y ¿Por qué? de un ilícito, a partir del
estudio de unos vestigios que se revelan como indicios, que se han constituido como evidencias y podrán elevarse a la categoría de
prueba en el plenario.
En la actualidad la realización de un análisis forense, sobre medios informáticos es lo que se conoce como “Informática Forense” o una
“Pericial Informática”.
La realización de la misma constituye una rama del conocimiento científico y técnico muy especializada. Constituyen una disciplina más
de las ciencias criminalísticas, que está relacionada, a su vez, con otras múltiples ramas de la ciencia y la técnica. El derecho, la
psicología, la criminología, la sociología, las telecomunicaciones, la electrónica, la lingüística; entre otras, no son ajenas a la colaboración
con la informática forense.
Las técnicas, procedimientos, métodos y herramientas no se circunscriben solamente a las causas judiciales. Estas son ampliamente
utilizadas tanto a nivel profesional y comercial en la industria, el comercio como en la vida personal.
Técnicas como análisis de seguridad (mediante programas antimalware, actualizaciones de programas y sistemas operativos) o
recuperación de información borrada (programas especializados de recuperación, de mantenimiento de sistemas, empresas
especializadas en la recuperación de información borrada o de dispositivos en mal estado) son muestras de ello.
No es extraño en cualquier empresa que sus técnicos informáticos tengan que revisar archivos de registro de eventos (archivos logs)
para poder determinar qué causó el fallo, o si éste se sigue produciendo, dónde, quién se ve afectado, etc.
Se verán en esta sesión, conceptos ya vistos como fases en el proceso de un análisis forense o la adquisición de evidencias, desde un
punto de vista más cercano a la pericia informática. De la misma forma, se verán algunas técnicas y herramientas utilizadas en la
realización de una pericial informática.
2. C O N C EP TO S R E L A C I O N A D O S C O N LA P ER IC IA IN F O R M Á T IC A .
Para el correcto seguimiento de esta unidad deberemos previamente relacionar una serie de conceptos básicos, como son los siguientes:
- Clon o Copia forense electrónica: Copia bit a bit de la información contenida en un dispositivo (evidencia digital o soporte físico
donde se encuentra la misma) en otro dispositivo sobre el que se realizará los análisis y estudios de la información.
- Imagen forense electrónica o Imagen forense: Copia bit a bit de la información contenida en un dispositivo (evidencia digital o
soporte físico donde se encuentra la misma) en un archivo informático (con unas características especiales) sobre el que se
realizará los análisis y estudios de la información.
- Clonadora: Dispositivo físico que permite la realización del “clon” o de la “imagen forense” protegiendo de forma física contra
escritura o modificación el dispositivo donde se encuentra la evidencia digital.
- Resumen digital o Hash: Es el resultado alfanumérico que se obtiene al aplicar a un algoritmo criptográfico de resumen digital a
la información contenida en un dispositivo o en un archivo lógico. Entre los algoritmos criptográficos más usados se encuentran
el SHA-1, SHA-2, en menor medida el MD-5 y ya en desuso los CRC-32 y CRC-16.
- Borrado Seguro (WipeOut), es el borrado de la información de un dispositivo de tal forma que no pueda recuperarse la
información que estaba previamente. Esto se consigue mediante la sobreescritura de toda la capacidad del dispositivo varias
veces. Se considera seguro formalmente en entornos militares, siete veces. En informática forense no es preciso tantas veces.
Siendo dos pasadas más que suficiente. En la práctica consistiría en grabar en el dispositivo sobre el que se vaya a realizar el
clon o la imagen, un patrón de información fijo que el analista conozca y que le haga comprender que hasta ahí está la
información de la evidencia digital. Tradicionalmente se graba toda la capacidad del dispositivo destino (copia clon) con ceros,
se denomina “puesta a ceros”.
- Evidencia digital: «Es un tipo de evidencia física que está construida de campos magnéticos y pulsos electrónicos que pueden
ser recolectados y analizados con herramientas y técnicas especiales.» (Eoghan Casey, 2000).
, - Metadatos: Es información que se encuentra incrustada dentro del propio archivo (oculta) y aporta información adicional,
(fecha y usuario que la creó, cuando se modificó o se imprimió, las revisiones, el dispositivo que se utilizó, características
técnicas, etc.). Así, los libros o documentos electrónicos en formato Acrobat PDF contiene incrustada información sobre el autor,
el título, la fecha en que creó, con que aplicación, etc.; Las fotografías y videos digitales contienen información sobre la imagen
o video (marca y el modelo del dispositivo con que se tomaron, fecha en que se realizó, o el software empleado en su
realización o manipulación). Igualmente, las cabeceras de los mensajes de correo también constituyen metadatos, y muestran
información sobre el emisor y el receptor de mensaje, el camino seguido por los servidores hasta destino.
3. R E S UM E N D E L P R O C ED IM IE N T O D E UN A P ER IC IA IN F O R M Á T IC A
Podría resumirse todo el proceso desde que se tiene el conocimiento del hecho que se quiere estudiar, normalmente un ilícito que será
presumiblemente objeto de un proceso judicial. Estas acciones pasan por las actuaciones en la escena y el trabajo en laboratorio. Así
entre las primeras tendremos el aseguramiento de la escena, la identificación de las evidencias (en este caso evidencias digitales), su
captura o recolección. Entre las segundas tendremos la preservación de esas evidencias, su estudio o análisis y la presentación de los
resultados. Se puede representar gráficamente de la siguiente forma:
La fase de análisis o pericia informática de la información se podría a su vez establecer como un proceso metódico y sistemático en el
que se van pasando por distintas fases, para su realización. La realización de cada fase será objeto de técnicas, herramientas y
procedimientos que dependen de la naturaleza y tecnologías empleadas en las evidencias digitales objeto de estudio. Su representación
gráfica de las fases normalizadas que lo componen puede verse en la siguiente imagen.
4. LA E VI D E N C I A D I GI T A L.
En el estudio de esta unidad entenderemos la evidencia digital como “Todo elemento que pueda almacenar información en formato
electrónico de forma física o lógica que permita constatar un hecho investigado o el esclarecimiento del mismo.” Algunos ejemplos,
pueden ser:
- Un documento electrónico, una imagen, un archivo de video, etc.
- Archivos en la Papelera de reciclaje, ficheros temporales.
- Las cachés de los navegadores, cookies en la carpeta de trabajo del navegador.
- Usuarios activos del sistema operativo. Sesiones activas.
- Una línea de texto en un archivo “.log” de algún dispositivo de red.
- La fecha y hora de último acceso, de creación o de borrado de un fichero.
- Una dirección MAC en una tabla ARP, una dirección IP.
- El tiempo desde que se arrancó un sistema.
- Un proceso en ejecución, los archivos «*.Dll» cargados en el sistema, etc.
- Los procesos en ejecución residentes en la memoria.
4 . 1 . P R O P IE D A D E S D E SE A B LE S A L A D Q UI R IR UN A E V ID EN C IA D I GI T A L.
La Evidencia digital debe :
- Ser Relevante: relacionada con el hecho o el delito investigado.
- Estar Permitida legalmente, obtenida respetando el ordenamiento jurídico.
- Ser Confiable, no haber sido alterada o modificada.
- Estar Identificada, claramente reseñada y etiquetada, sin error.
- Ser Preservada, no dañada o destruida.
