1
00:00:01,980 --> 00:00:07,300
En esta clase nos enfocaremos en la informática forense, un tema del que se habla en disciplinas que

2
00:00:07,300 --> 00:00:09,280
van más allá de la seguridad informática.

3
00:00:09,760 --> 00:00:15,790
Dado que sus aplicaciones son variadas, aquí veremos, además de las definiciones y conceptos relacionados,

4
00:00:16,030 --> 00:00:22,270
las características de la evidencia digital, el proceso de investigación y algunos aspectos relativos

5
00:00:22,360 --> 00:00:22,960
a la ley.

6
00:00:23,770 --> 00:00:25,570
Conceptos fundamentales.

7
00:00:26,350 --> 00:00:34,060
En un texto de origen australiano de 1998, Rodney Mackenzie define informática forense como la técnica

8
00:00:34,060 --> 00:00:42,880
de capturar, procesar e investigar información procedente de sistemas informáticos utilizando una metodología

9
00:00:42,880 --> 00:00:46,150
con el fin de que pueda ser utilizada en la justicia.

10
00:00:46,480 --> 00:00:53,620
El FBI, por su parte, la define como la ciencia de adquirir, preservar, obtener y presentar datos

11
00:00:53,950 --> 00:00:58,900
que han sido procesados electrónicamente y guardados en un medio informático.

12
00:00:58,990 --> 00:01:03,790
Ambas definiciones comparten conceptos, pero a su vez pueden complementarse.

13
00:01:04,000 --> 00:01:10,510
Uno de los principales objetivos del análisis forense informático es obtener evidencias que permitan

14
00:01:10,510 --> 00:01:14,560
llegar a conclusiones sin dar lugar a la duda razonable.

15
00:01:15,040 --> 00:01:16,690
Respuesta a incidentes.

16
00:01:16,900 --> 00:01:25,180
Para hacer frente a los incidentes de manera inmediata se suele contar con el apoyo de los Si es a TI

17
00:01:25,270 --> 00:01:32,590
OR Computer Security Incident Response TIM o Equipo de Respuesta a Incidentes de Seguridad.

18
00:01:32,980 --> 00:01:41,620
Es común pensar en ellos como RT Computer Emergency Response TIMM, pero en nombre C RT está registrado

19
00:01:41,620 --> 00:01:48,220
en la Oficina de Marcas y Patentes de los Estados Unidos y organizaciones que quieran usar C RT en su

20
00:01:48,220 --> 00:01:52,570
nombre deben requerir permiso en el caso de los incidentes.

21
00:01:52,660 --> 00:01:58,000
Cada empresa u organización deberá definir explícitamente qué es un incidente de seguridad.

22
00:01:58,570 --> 00:02:03,790
Algunos ejemplos podrían ser cualquier evento negativo, ya sea real o sospechoso.

23
00:02:04,890 --> 00:02:11,550
Relativo a la inseguridad de los sistemas informáticos o redes, o bien el hecho de violar implícita

24
00:02:11,670 --> 00:02:20,190
o explícitamente una política de seguridad en el caso de las tareas típicas o básicas de la informática

25
00:02:20,190 --> 00:02:27,570
forense, algunas habilidades que se requiere son la relacionadas con el origen de un correo electrónico,

26
00:02:27,910 --> 00:02:33,210
determinacion de propietarios de dominios web, pruebas de violación de derechos de autor, recuperación

27
00:02:33,210 --> 00:02:40,440
de archivos borrados y claves de acceso y demostración de acciones en una red por medio de logs de auditoría

28
00:02:40,770 --> 00:02:42,150
delitos informáticos.

29
00:02:42,690 --> 00:02:48,090
Aunque no hay una definición formal y a la vez universal del delito informático, se han definido algunos

30
00:02:48,090 --> 00:02:50,820
conceptos que responden a realidades concretas.

31
00:02:50,970 --> 00:02:54,860
A partir de 1983, la O.C.

32
00:02:54,860 --> 00:03:00,570
De Organización de Cooperación y Desarrollo Económico estudió las posibilidades de crear leyes penales

33
00:03:00,900 --> 00:03:05,730
de aplicación al plano internacional para combatir el uso inapropiado del software.

34
00:03:05,970 --> 00:03:13,590
La OSé definió delito informático como cualquier comportamiento antijurídico, no ético o no autorizado,

35
00:03:13,860 --> 00:03:18,390
relacionado con el procesado automático y transmisiones de datos.

36
00:03:18,630 --> 00:03:24,240
La ONU Organización de las Naciones Unidas, por su parte, define tres tipos de delitos informáticos

37
00:03:24,390 --> 00:03:31,230
fraudes cometidos mediante manipulación de computadoras, sustracción de datos, manipulación de programas

38
00:03:31,280 --> 00:03:38,220
y de datos de salida y manipulación informática de pequeños datos en interacciones automáticas, manipulación

39
00:03:38,220 --> 00:03:44,310
de los datos de entrada como objeto o como instrumento, daños o modificación de programas o datos.

40
00:03:44,640 --> 00:03:52,080
Sabotaje informático, acceso no autorizado a servicios y sistemas y reproducción ilegal de programas.

41
00:03:52,290 --> 00:03:53,280
Cadena custodia.

42
00:03:54,000 --> 00:04:00,690
Llamamos cadena de custodia al procedimiento, cuyo objetivo es preservar la evidencia reunida en función

43
00:04:00,690 --> 00:04:07,140
de su naturaleza durante todas las fases de la investigación, para garantizar que sea auténtica a los

44
00:04:07,140 --> 00:04:09,090
fines del proceso y de la ley.

45
00:04:09,840 --> 00:04:13,170
Para esto debe realizarse primero un correcto etiquetado.

46
00:04:13,680 --> 00:04:21,360
Luego la persona que recibe la evidencia deberá entregar a cambio una constancia y así repetir el procedimiento

47
00:04:21,390 --> 00:04:26,940
en cada instancia que sea necesaria a través de cada persona relacionada con su tenencia.

48
00:04:27,330 --> 00:04:33,120
También implica que se mantendrá en un lugar seguro, protegido de elementos que puedan alterarla y

49
00:04:33,120 --> 00:04:36,660
no se debe permitir el acceso a personas no autorizadas.

50
00:04:36,900 --> 00:04:42,780
No se concibe la cadena de custodia como medida protectora de la cantidad y la calidad de la evidencia,

51
00:04:43,380 --> 00:04:51,630
pero su ruptura resulta en la pérdida de la garantía de integridad entre lo que se encuentra y lo que

52
00:04:51,630 --> 00:04:54,090
llega al laboratorio de análisis.

53
00:04:54,150 --> 00:04:55,410
Teoría anti forense.

54
00:04:55,860 --> 00:05:02,670
Conociendo las principales técnicas forenses, es posible deducir las técnicas de evasión que compliquen

55
00:05:02,790 --> 00:05:04,230
la aplicación de las primeras.

56
00:05:04,350 --> 00:05:10,410
Estas técnicas pueden ser útiles para evitar que un análisis forense no deseado revele información,

57
00:05:10,590 --> 00:05:13,560
pero por otro lado tenemos el uso malicioso.

58
00:05:14,220 --> 00:05:20,220
Estas técnicas anti forenses la podríamos definir como aquellas que tienen un impacto negativo contra

59
00:05:20,220 --> 00:05:26,760
los mecanismos para identificar los datos, así como también la disponibilidad, confiabilidad y la

60
00:05:26,760 --> 00:05:29,970
relevancia de la evidencia digital en un proceso de análisis forense.

61
00:05:30,420 --> 00:05:38,610
En este sentido, también aparecerán técnicas anti forenses, que son los que utilizaremos para complicar

62
00:05:38,610 --> 00:05:41,190
la aplicación de técnicas anti forenses.

63
00:05:41,400 --> 00:05:46,890
En la práctica, algunas técnicas forenses, como unas referidas a los datos almacenados, son los siguientes.

64
00:05:47,130 --> 00:05:54,530
Eliminación segura en dispositivos magnéticos puede realizarse con software como PGP, Whopper o en

65
00:05:55,050 --> 00:05:56,260
érais, etcétera.

66
00:05:57,350 --> 00:06:01,070
Cifrado de información en general mediante algoritmos simétricos.

67
00:06:01,370 --> 00:06:10,510
Este ganó grafía ocultación de un tipo de datos dentro de otro tipo de datos a esconder o mimetizar,

68
00:06:10,930 --> 00:06:16,580
y en el más sofisticado se apunta a destruir definitivamente la evidencia digital.

69
00:06:16,910 --> 00:06:22,160
En lo cotidiano, la evidencia es todo lo que se requiere para demostrar un hecho o sirve para establecer

70
00:06:22,160 --> 00:06:23,630
relaciones entre sucesos.

71
00:06:24,050 --> 00:06:30,080
En cuanto al mundo digital, existe también evidencia llamada evidencia digital, que es otra forma

72
00:06:30,080 --> 00:06:37,180
de evidencia física de menor tangibilidad que otros ADN huellas, papeles, etcétera.

73
00:06:37,970 --> 00:06:44,660
Esta última posee ciertas ventajas sobre la tradicional y dado que puede ser exactamente duplicada,

74
00:06:44,930 --> 00:06:51,950
puede detectarse si sufrió alteraciones e incluso a veces recuperarse, se ha visto si ha sido eliminada.

75
00:06:52,100 --> 00:06:56,750
En síntesis, es repetible, recuperable, redundante e integra.