ORIGEN DEL TÉRMINO “FORENSE”

El término “forense” proviene del

latín “forensis” que significa “público y manifiesto”
o “perteneciente al foro”; a su vez, “forensis” se
deriva de “forum”, que significa “foro”, “plaza
pública”, “plaza de mercado” o “lugar al aire libre”.
 Fundamentos de la Informática
Forense
• El cómputo forense, también
llamado informática forense, computación
forense, análisis forense digital o
examinación forense digital es la aplicación
de técnicas científicas y analíticas
especializadas a infraestructura tecnológica
que permiten identificar, preservar, analizar y
presentar datos que sean válidos dentro de un
proceso legal.
• Dichas técnicas incluyen reconstruir el
bien informático, examinar datos
residuales, autenticar datos y explicar las
características técnicas del uso aplicado a
los datos y bienes informáticos.
• Como la definición anterior lo indica, esta
disciplina hace uso no solo de tecnologías de
punta para poder mantener la integridad de
los datos y del procesamiento de los mismos;
sino que también requiere de una
especialización y conocimientos avanzados en
materia de informática y sistemas para poder
detectar dentro de cualquier dispositivo
electrónico lo que ha sucedido
• El conocimiento del informático forense
abarca el conocimiento no solamente del
software si no también de hardware,
redes, seguridad, hacking, cracking,
recuperación de información.
• La informática forense ayuda a detectar pistas
sobre ataques informáticos, robo de información,
conversaciones o pistas de emails, chats.
• La importancia de éstos y el poder mantener su
integridad se basa en que la evidencia digital o
electrónica es sumamente frágil. El simple hecho
de darle doble clic a un archivo modificaría la
última fecha de acceso del mismo.
• Adicionalmente, un examinador forense
digital, dentro del proceso del cómputo
forense puede llegar a recuperar
información que haya sido borrada desde
el sistema operativo.
• Es muy importante mencionar que la
informática forense o cómputo forense
no tiene parte preventiva, es decir, la
informática forense no tiene como
objetivo el prevenir delitos, de ello se
encarga la seguridad informática.
• por eso resulta imprescindible tener
claro el marco de actuación entre la
informática forense, la seguridad
informática y la auditoría informática.
 Paralelismo con las ciencias forense
tradicional
• Antiguamente en Roma y en las otras
ciudades del Imperio Romano las asambleas
públicas, las transacciones comerciales y las
actividades políticas se realizaban en la plaza
principal. En dichos foros (plazas) también se
trataba los negocios públicos y se celebraba
los juicios; por ello, cuando una profesión
sirve de soporte,
• asesoría o apoyo a la justicia para que se
juzgue el cometimiento de un delito, se le
denomina forense, tal es el caso de las
siguientes disciplinas: medicina, sicología,
grafología, biología, genética, informática,
auditoría y otras.
DEFINICIÓN DE AUDITORÍA FORENSE

• Cuando en la ejecución de labores de

auditoría (financiera, de gestión,
informática, tributaria,
ambiental, gubernamental) se detecten
fraudes financieros significativos; y, se
deba (obligatorio) o desee (opcional)
profundizar sobre ellos
 DEFINICIÓN DE AUDITORÍA FORENSE
• se está incursionando en la denominada
auditoría forense. La investigación de un
fraude financiero será obligatoria
dependiendo de: 1) el tipo de fraude; 2) el
entorno en el que fue cometido (público o
privado); y, 3) la legislación aplicable.
DEFINICIÓN DE AUDITORÍA FORENSE
• Un trabajo de auditoría forense también
puede iniciar directamente sin necesidad de
una auditoría previa de otra clase, por
ejemplo en el caso de existir denuncias
específicas.
DEFINICIÓN DE AUDITORÍA FORENSE
• La auditoría forense por lo expuesto es una
auditoría especializada que se enfoca en la
prevención y detección del fraude financiero a
través de los siguientes enfoques: preventivo y
detectivo.
 Enfoques:
• Preventivo y Detectivo.
 Auditoría Forense Preventiva.
• Orientada a proporcionar aseguramiento
(evaluación) o asesoría a las
organizaciones respecto de su capacidad
para disuadir, prevenir (evitar), detectar
y reaccionar ante fraudes financieros,
puede incluir trabajos de consultoría
para implementar:
 Auditoría Forense Preventiva.
• programas y controles anti fraude; esquemas
de alerta temprana de
irregularidades; sistemas de administración
de denuncias. Este enfoque es proactivo por
cuanto implica tomar acciones y decisiones en
el presente para evitar fraudes en el futuro.
 Auditoría Forense Detectiva
• - Orientada a identificar la existencia de
fraudes financieros mediante la investigación
profunda de los mismos llegando a establecer
entre otros aspectos los siguientes: cuantía
del fraude; efectos directos e indirectos;
posible tipificación (según normativa penal
aplicable); presuntos autores, cómplices y
encubridores;
 Auditoría Forense Detectiva
• en muchas ocasiones los resultados de un
trabajo de auditoría forense detectiva son
puestos a consideración de la justicia que se
encargará de analizar, juzgar y dictar la
sentencia respectiva. Este enfoque es reactivo
por cuanto implica tomar acciones y
decisiones en el presente respecto de fraudes
sucedidos en el pasado.
 Auditoría Forense Detectiva
• Un trabajo de auditoría forense usualmente
implica la consideración de los dos enfoques
antes señalados realizándose entonces una
labor de auditoría forense integral; sin
embargo, existen casos en los cuales solo se
requiere una auditoría forense preventiva o
detectiva.
• Un trabajo de auditoría forense usualmente
implica la consideración de los dos enfoques
antes señalados realizándose entonces una
labor de auditoría forense integral; sin
embargo, existen casos en los cuales solo se
requiere una auditoría forense preventiva o
detectiva.
Auditoria Forense Integral
Auditoria Forense Integral
 Aplicaciones de la ciencia de
informática forense
• La infraestructura informática a analizar puede
ser toda aquella que tenga una Memoria
(informática), por lo que se incluyen en tal pericia
los siguientes dispositivos:
• Disco duro de una Computadora o Servidor
• Documentación referida del caso.
• Tipo de Sistema de Telecomunicaciones
• Información Electrónica MAC address
• Logs de seguridad.
• Información de Firewalls
• IP, redes Proxy. lmhost, host, Crossover,
pasarelas
• Software de monitoreo y seguridad
• Credenciales de autentificación
• Trazo de paquetes de red.
• Teléfono Móvil o Celular, parte de la telefonía
celular,
• Agendas Electrónicas (PDA)
• Dispositivos de GPS.
• Impresora
• Memoria USB
• Bios
 Pasos del cómputo forense

• El proceso de análisis forense a una

computadora se describe mediante lo
siguientes puntos :
• Identificación
• Preservación
• Análisis
• Presentación
 Identificación

• Es muy importante conocer los antecedentes

a la investigación , situación actual y el
proceso que se quiere seguir para poder
tomar la mejor decisión con respecto a las
búsquedas y las estrategia (debes estar bien
programado y sincronizado con las actividades
a realizar, herramientas de extracción de los
registros de información a localizar).
 Identificación
• Incluye muchas veces ( en un momento
especifico Observar, Analizar Interpretar y Aplicar
la certeza, esto se llama criterio profesional que
origina la investigación) la identificación del bien
informático, su uso dentro de la red, el inicio de la
cadena de custodia (proceso que verifica la
integridad y manejo adecuado de la evidencia), la
revisión del entorno legal que protege el bien y
del apoyo para la toma de decisión con respecto
al siguiente paso una vez revisados los resultados.
 Preservación

• Este paso incluye la revisión y generación de

las imágenes forenses de la evidencia para
poder realizar el análisis. Dicha duplicación se
realiza utilizando tecnología de punta para
poder mantener la integridad de la evidencia y
la cadena de custodia que se requiere(
soportes). Al realizar una imagen forense, nos
referimos al proceso que se requiere para
generar una copia “bit-a-bit” (copia binaria)
de todo el disco duro,
 Preservación
• el cual permitirá recuperar en el siguiente
paso, toda la información contenida y borrada
del disco duro. Para evitar la contaminación
del disco duro, normalmente se ocupan
bloqueadores de escritura de hardware, los
cuales evitan el contacto de lectura con el
disco, lo que provocaría una alteración no
deseada en los medios.
 Análisis

• Proceso de aplicar técnicas científicas y

analíticas a los medios duplicados por medio
del proceso forense para poder encontrar
pruebas de ciertas conductas. Se pueden
realizar búsquedas de cadenas de caracteres,
acciones específicas del o de los usuarios de la
máquina
 Análisis

• como son el uso de dispositivos de USB

(marca, modelo), búsqueda de archivos
específicos, recuperación e identificación
de correos electrónicos, recuperación de
los últimos sitios visitados, recuperación
del caché del navegador de Internet, etc.
 Presentación

• Es el recopilar toda la información que se

obtuvo a partir del análisis para realizar
el reporte y la presentación a los
abogados, jueces o instancias que
soliciten este informe, la generación (si
es el caso) de una pericial y de su
correcta interpretación sin hacer uso de
tecnicismos
 Presentación

• se deberá presentar de manera cauta,

prudente y discreta al solicitante la
documentación ya que siempre existirán
puertas traseras dentro del sistema en
observación y debe ser muy especifica la
investigación dentro del sistema que se
documenta porque se compara y vincula una
plataforma de telecomunicación y computo
forense y que están muy estrechamente
enlazadas
 Presentación
• no omitiendo los medios de
almacenamiento magnéticos portables
estos son basamentos sobre software
libre y privativo. deberá ser muy
cuidadosa la información a entregar
porque se maneja el prestigio técnico
según la plataformas y sistemas
Descubriendo la escena
del crimen digital
 ¿Qué es un delito informático?

• Es un crimen genérico o crimen electrónico,

que agobia con operaciones ilícitas realizadas
por medio de Internet o que tienen como
objetivo destruir y dañar computadores,
medios electrónicos y redes de Internet. Los
delitos informáticos están contemplados en la
Ley Especial contra los Delitos Informáticos
 Escena del Crimen
• Utilizando los más avanzados instrumentos
tecnológicos de investigación, se pueden
determinar los autores de un crimen. Esta vez
la evidencia no será un cuerpo, rastros de
sangre o el arma homicida, sino la
información contenida en celulares,
computadoras, laptos, tablets y que aun
destruidos pueden brindar datos
incriminatorios difícil de evadir ante la justicia
 Escena del Crimen
• En la últimas décadas la Informática forense ha
tomado un mayor auge dentro del mundo de la
seguridad de la información. Con el arribo del
Internet y sus múltiples posibilidades, así como
nuevas tecnologías de hardware y software, la
información asociada a trámites, acuerdos y
transacciones bancarias, comerciales,
industriales, hasta hechos políticos, legales y
sociales, queda guardada en forma digital en los
dispositivos en la red.
 Escena del Crimen
• Frente a este nuevo escenario, donde las
computadoras son dueñas de la información,
los forenses digitales cobran especial
importancia en el esclarecimiento de los
crímenes.
• Hoy, gracias a conocimientos en
electromagnetismo, la información
almacenada se puede recuperar incluso
cuando se creía eliminada.
 Escena del Crimen
• La Informática Forense, a través de
procedimientos científicos y rigurosos, puede
ayudar a resolver grandes crímenes
apoyándose en el método científico, y
aplicando la recolección, análisis y validación
de todo tipo de pruebas digitales.
 Escena del Crimen
• el cómputo forense, también llamado
Informática Forense, Computación Forense,
Análisis Forense Digital o Exanimación Forense
Digital es la aplicación de técnico-científicas y
analíticas especializadas que permiten
identificar, preservar, analizar y presentar
datos que sean válidos dentro de un proceso
legal.
•Crimen digital: Los
delincuentes
informáticos más
conocidos
• George Hotz, pirata informático
estadounidense responsable de 'hackear' el
iPhone y la PS3. Hotz ha creado toda una
subcultura de los usuarios de iOS , que
prefieren utilizar sistemas operativos más
abiertos y ajustables a las necesidades de cada
uno, lo que también incluye contenido creado
por los propios usuarios e incluso aplicaciones
'hackeadas'.
• Gary McKinnon, pirata escocés acusado del
"mayor ataque a ordenadores militares jamás
realizado". Fue pedido en extradición por
EE.UU., aunque la Justicia británica finalmente
la rechazó. Logró introducirse en
computadoras del Pentágono y la NASA en un
esfuerzo de hallar las pruebas de que se
ocultaba información sobre ovnis y fuentes de
energía alternativas.
• Kevin Mitnick, 'exhacker' al que el
Departamento de Justicia de EE.UU. describió
como "el criminal digital más buscado en la
historia de Estados Unidos", y ahora trabaja
de consultor en seguridad informática. Al final
del siglo XX, Mitnick fue condenado por varios
delitos informáticos y cumplió 5 años en
prisión.
• Adrian Lamo, 'exhacker' que infligió graves
daños a varias grandes empresas como
Microsoft y el diario 'The New York Times'. La
lista de sus objetivos también
incluye Yahoo, Citigroup, Bank of America y
Cingular. Lamo hallaba frecuentemente fallos
en la seguridad que utilizaba para irrumpir en
los sistemas, pero a menudo denunciaba estos
errores a las propias empresas.
• John Draper, uno de los primeros en la
historia de la piratería informática mundial. A
Draper se le ocurrió una manera eficaz de
hacer llamadas telefónicas gratuitas
('phreaking'). Además de sentar las bases en la
irrupción telefónica, es conocido como el
autor del primer programa editor de texto
para el IBM PC.
• Aaron Swartz, programador y activista por la
libertad de Internet, fue acusado por la
Justicia estadounidense de fraude electrónico
e informático por descargar más de 4 millones
de artículos científicos mediante el uso de la
conexión a la Red que unía a 17 bibliotecas. Se
suicidóy fue encontrado muerto el 1 de enero
de 2013.
• Robert Tappan Morris, profesor asociado en el
Instituto Tecnológico de Massachusetts, es
conocido como el creador del primer 'gusano',
que paralizó 6.000 computadoras en los Estados
Unidos en noviembre de 1988. En 1989, Morris
fue el primero en ser acusado de fraude
informático. En 1990, fue condenado a tres años
de libertad vigilada, 400 horas de servicio
comunitario y una multa de 10.050 dólares.
• Final tema