EVIDENCIA DIGITAL

FORENSE INFORMÁTICO

Es el experto en el campo informático y  que dirige la investigación orientado al descubrimiento de información cuando se ha cometido un mal proceso o crimen relacionado con el área informática. 

FUNCIONES DE UN PERITO INFORMÁTICO

1. Asesoría técnica contra el ciber-crimen

2. Localización de evidencias electrónicas

3. Auditorías y seguridad informática forense mediante test de penetración

4. Valoración y tasación de equipos tecnológicos

5. Certificaciones y homologaciones

6. Recuperación de datos

7. Asesoría informática y formación de profesionales del derecho

8. Contraespionaje informático

9. Supervisión de actividad laboral informática

10. Detección y asesoría en casos de infidelidad empresarial

EVIDENCIA DIGITAL

Cualquier dato que puede establecer que un crimen se ha ejecutado, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original.

CARACTERÍSTICAS DE LA EVIDENCIA DIGITAL

1. VOLÁTIL

2. ANÓNIMA

3. DUPLICABLE

4. ALTERABLE Y MODIFICABLE

5. ELIMINABLE

ADMISIBILIDAD DE LA EVIDENCIA DIGITAL

Esta debe avanzar hacia una estrategia de formalización que ofrezca un cuerpo formal de evaluación y análisis que deba ser observado por el ordenamiento judicial de un país.

AUTENTICIDAD

Se refiere a que las partes de la evidencia digital ha sido generada y registrada en los sitios relacionados con el caso, particularmente en la escena del posible ilícito o lugares establecidos en la diligencia de levantamiento de evidencia

CONFIABILIDAD

Nos dice si, efectivamente, los elementos probatorios aportados vienen de fuentes que son creíbles y verificables y que sustenten elementos de defensa o del fiscal en el proceso que se sigue.

SUFICIENCIA

Es la presencia de toda la evidencia necesaria para adelantar el caso; esta característica al igual que las anteriores, es factor crítico de éxito en las investigaciones en procesos judiciales.

CONFORMIDAD CON LAS LEYES Y REGLAS DE LA ADMINISTRACIÓN DE JUSTICIA

Hace referencia a los procedimientos internacionalmente aceptados para la recolección, aseguramiento, análisis y reporte de la evidencia digital.

    DETERMINAR LA RELEVANCIA DE LA EVIDENCIA

Establece valorar las evidencias de tal manera que se identifiquen las mejores evidencias que permitan presentar de manera clara y eficaz los elementos que se desean aportar en el proceso y en el juicio que se lleve.

HERRAMIENTAS FORENSES

Dentro de las herramientas frecuentemente utilizadas en procedimientos forenses en informática se detalla algunas de conocimiento general, que son aplicaciones que tratan de cubrir todo el proceso en la investigación forense en informática.

EVIDENCIA DIGITAL II

ARTEFACTOS

Todo aquello que puede obtener una evidencia y cabe recalcar que son los diferentes ficheros, cadenas de registro, rutas de acceso y configuraciones que pueden determinar la actividad de un malware o de un usuario malicioso, así como las evidencias necesarias para una prueba.

Shellbags

Se considera artefacto Shellbags, aquellos lugares donde el sistema operativo almacena información relacionada con las preferencias de visualización de contenidos en Windows Explorer, tales como: tamaño de la ventana, posición de ésta en la pantalla, modo de visualización y elementos visibles, por mencionar algunos ejemplos. Si se requiere observar a las Shellbags en operación, lo adecuado sería hacer doble clic sobre "Mi PC", cerrar la ventana y volver a abrir.

Registros HIVE.

Son importantes por la información que se encuentra en un análisis forense; es decir, el sistema operativo Windows, si se cambia el fondo de pantalla para colocar una fotografía a continuación se reiniciará y la fotografía aparece otra vez. Lo que sucedió es que se ha guardado un valor, un parámetro en el registro de Windows y el valor guardado, hace que el equipo cuando se encienda recupere la información que se almacenó.

Un HIVE es la estructura del registro que cuando se apaga el equipo se almacena la información sobre ficheros.

RegRipper

Es una herramienta que puede monitorear todo de una manera accesible; sin entorno gráfico, pero va a permitir encriptar. RegRipper, va a posibilitar poder pasear, obtener un informe de una forma rápida y cómoda a modo de script. RegRipper en la versión 2,5 está orientada a Windows XP y RegRipper en la versión 2,8 dirigida a Windows en su versión 7, 8 y 10.

RegRipper – Redes

Describe las redes instaladas o configuradas en la máquina, el Gateway y el IP, clave “Network key”.

RegRipper – USB

USB, que se tienen instalados. Esto permite de una forma muy rápida obtener una información relativamente automatizada.

La papelera

Es un artefacto del que se puede obtener información, cuyo funcionamiento es sencillo. En el sistema de archivos donde se encuentra instalado el sistema operativo en la partición, se identifica una carpeta con el nombre Recycle Bin.

RecoverMyFiles

Es una herramienta con licencia propia con un costo módico

• Recupera discos duros formateados incluso si ha reinstalado el sistema operativo Windows.

• Recupera sus archivos después de un fallo físico del disco duro.

• Recupera los archivos de un error al realizar una partición.

• Recupera documentos, fotos, video, música y correos electrónicos.

• Recupera datos de un disco duro, una tarjeta de cámara, un medio de almacenamiento USB, una unidad Zip flexible o cualquier otro medio .