1

DISEÑO DE UNA GUÍA PARA LA AUDITORÍA DE ANÁLISIS FORENSE EN

DISPOSITIVOS MOVILES BASADOS EN TECNOLOGÍA ANDROID PARA

LEGISLACIÓN COLOMBIANA

LUZ STELLA LARROTA ARDILA

JEIMY MARCELA MARTINEZ ZABALA

VIVIANA FRANCENET ORJUELA LÓPEZ

UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERIA

ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE INFORMACIÓN BOGOTÁ D.C.

2014

2

DISEÑO DE UNA GUIA PARA LA AUDITORÍA DE ANÁLISIS FORENSE EN

DISPOSITIVOS MOVILES BASADOS EN TECNOLOGIA ANDROID PARA

LEGISLACIÓN COLOMBIANA

LUZ STELLA LARROTA ARDILA

JEIMY MARCELA MARTINEZ ZABALA

VIVIANA FRANCENET ORJUELA LÓPEZ

Trabajo de Grado

Director HOLMAN DIEGO BOLIVAR

Ingeniero de Sistemas

UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERIA

ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE INFORMACIÓN BOGOTÁ D.C.

2014

3

4

Nota de aceptación

Aprobado por el comité de grado en cumplimiento de los requisitos exigidos por la Facultad de Ingeniería y la Universidad Católica de Colombia para optar al título de especialista en auditoría de sistemas de información.

________________________________ Ingeniero Holman Diego Bolívar

Director

.

________________________________ Ingeniero Jorge Carrillo

Revisor Metodológico .

Bogotá D. C. Diciembre 06 de 2014

5

A Dios y nuestra familia

Por su apoyo incondicional

6

AGRADECIMIENTOS

Brindamos agradecimientos a nuestro asesor Ing. Holman Diego Bolívar por el acompañamiento a las autoras del presente trabajo, porque puso a disposición sus conocimientos y brindo lineamientos claros que permitieron que se materializara una meta más en nuestras vidas. A nuestros compañeros de especialización por cada uno de los momentos compartidos en los que se interrelacionaron conocimientos y experiencias. Pero en especial, a cada una de nuestras familias, padres, hermanos, hijos, esposos, ya que con la concesión del tiempo y paciencia que tuvieron, acompañaron silenciosamente este pasó que dimos hacia la cúspide de nuestro crecimiento personal y laboral.

7

TABLA DE CONTENIDO

pág.

INTRODUCCIÓN 16

1. PLANTEAMIENTO DEL PROBLEMA 18

1.1. ANTECEDENTES 21

2. OBJETIVOS DEL PROYECTO 23

2.1. OBJETIVO GENERAL 23

2.2. OBJETIVOS ESPECIFICOS 23

3. ESTADO DEL ARTE 24

3.1. ANÁLISIS FORENSE 26

3.2. AUDITORÍA 27

3.3. AUDITORÍA DE SISTEMAS 27

3.4. AUDITORÍA AL ANÁLISIS FORENSE 28

3.5 TECNOLOGÍA MÓVIL 32

3.6. TECNOLOGÍA ANDROID 32

3.7. PUBLICACIONES EXISTENTES 38

3.8. ENFOQUE 42

3.9. TIPO DE INVESTIGACIÓN 42

3.10. TÉCNICAS E INSTRUMENTOS 43

3.11. FASES DE LA INVESTIGACIÓN 44

4. IDENTIFICACIÓN DE ACTIVIDADES EN EL ANÁLISIS FORENSE

EN DISPOSITIVOS MOVILES 46

5. ENTIDADES COLOMBIANAS QUE REQUIEREN DE LA AUDITO-

8

RÍA DEL ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES BASADOS

EN TECNOLOGÍA ANDROID 70

6. GUÍA PARA LA AUDITORIA DEL ANÁLISIS FORENSE EN DIS-

POSITIVOS MÓVILES BASADOS EN TECNOLOGÍA ANDORID PARA

LA LEGISLACIÓN COLOMBIANA 76

7. VALIDACIÓN DE LA GUIA DE AUDITORIA 77

7.1. NORMA ISO – INTERNACIONAL 19011 77

8. CONCLUSIONES 80

BIBLIOGRAFIA 81

9

LISTA DE TABLAS

pág.

Tabla 1. Actividades Cadena de Custodia 47 Tabla 2. Actividades de Análisis Forense 50 Tabla 3. Leyes Colombianas 54 Tabla 4. Normatividad de Framework vs. Actividad 56 Tabla 5. Tecnología Android vs. Actividad 66 Tabla 6. Documentos Análisis Forense vs. Actividad 67 Tabla 7. Entidades Entidades que realizan Análisis Forense en Colombia 70 Tabla 8. Validación de la Guía 77

10

LISTA DE IMAGENES

pág.

Imagen 1. Arquitectura del Sistema Operativo Android 34 Imagen 2. Versiones del Sistema Operativo Android 38 Imagen 3. Diagrama de la Metodologia para la Auditoria del Análisis Forense en dispositivos móviles 45 Imagen 4. Diagrama de Procesos Cadena de Custodia 49 Imagen 5. Diagrama Análisis Forense 52 Imagen 6. Diagrama de Procesos Alistamiento de la Computadora de Análisis 53

11

LISTA DE ANEXOS

pág.

ANEXO A. Guía de auditoría del análisis forense en dispositivos móviles basados en tecnología Android para la legislación colombiana 84 ANEXO B. Papel de trabajo 1. Plan de auditoría 90 ANEXO C. Papel de trabajo 2. Cronograma y recursos de la auditoría 91 ANEXO D. Papel de trabajo 3. Memorando comunicado de auditoría 93 ANEXO E. Papel de trabajo 4. Acta apertura auditoría 94 ANEXO F. Papel de trabajo 5. Lista de chequeo documentación inicial 95 ANEXO G. Papel de trabajo 6. Programación pruebas auditoría 96 ANEXO H. Papel de trabajo 7. Entrevista 97 ANEXO I. Papel de trabajo 8. Diseño pruebas auditoría 98 ANEXO J. Papel de trabajo 9. Planilla de puntos mejorables 99 ANEXO K. Papel de trabajo 10. Informe de auditoría 100

12

GLOSARIO

ANDROID: Sistema operativo basado en el kernel de Linux diseñado principalmente para dispositivos móviles con pantalla táctil, como teléfonos inteligentes o tabletas y también para relojes inteligentes, televisores y automóviles, inicialmente desarrollado por Android, Inc. Google respaldó económicamente y más tarde compró esta empresa en 2005. Android fue presentado en 2007 junto la fundación del Open Handset Alliance: un consorcio de compañías de hardware, software y telecomunicaciones para avanzar en los estándares abiertos de los dispositivos móviles. AUDITORÍA: Es un proceso sistemático que evalúa, acorde con las normas de auditoría generalmente aceptadas vigentes, la política pública y/o la gestión y los resultados fiscales de los entes objeto de control fiscal y de los planes, programas, proyectos y/o asuntos a auditar, mediante la aplicación de los sistemas de control fiscal o actuaciones especiales de vigilancia y control, para determinar el cumplimiento de los principios de la gestión fiscal, en la prestación de servicios o provisión de bienes y en desarrollo de los fines constitucionales y legales. AUDITORÍA INTERNA: Una actividad de evaluación establecida dentro de una entidad como un servicio a la misma. Sus funciones incluyen entre otras cosas, examinar, evaluar y monitorear lo adecuado y efectivo del control interno. AUDITORÍA DE SISTEMAS: Se encarga de la evaluación de todos aquellos aspectos relacionados con los recursos informáticos de la organización como son software, hardware, talento humano, funciones y procedimientos, enfocados todos ellos desde el punto de vista administrativo, técnico y de seguridad; y propende por prevenir a la empresa de aquellos riesgos originados por omisiones, errores, violaciones, actos mal intencionados, desastres naturales, etc., asesorando y proporcionando recomendaciones y sugerencias a nivel directivo para lograr un adecuado control interno en la empresa. BLACKBERRY OS: Sistema operativo móvil desarrollado por RIM para los dispositivos BlackBerry. El sistema permite multitarea y tiene soporte para diferentes métodos de entrada adoptados por RIM para su uso en computadoras de mano, particularmente la trackwheel, trackball, touchpad y pantallas táctiles. CONTROL INTERNO: La definición de control interno se entiende como el proceso que ejecuta la administración con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categorías: Efectividad y eficiencia operacional, confiabilidad de la información financiera y cumplimiento de políticas, leyes y normas.

13

DISPOSITIVO MÓVIL: Aparato de pequeño tamaño, con algunas capacidades de procesamiento, con conexión permanente o intermitente a una red, con memoria limitada. EVIDENCIA DE AUDITORÍA: Es toda la información que usa el auditor para llegar a las conclusiones en las que se basa la opinión de la auditoría. La Evidencia de la Auditoría incluye la información obtenida en los registros de auditoría y otra información. GUIA DE AUDITORÍA: Contiene las pautas básicas para orientar el proceso auditor y ha sido elaborada con el propósito de obtener los resultados esperados, con la calidad y el tiempo requeridos. INFORMATICA FORENSE: Aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. LIBRERÍA INFORMATICA: Es un Kit de herramientas de software pequeño y autónomo que ofrece una funcionalidad muy específica al usuario. Normalmente se usa junto con otras librerías y herramientas para hacer una aplicación completa, ya que por lo general las bibliotecas no son ejecutables, pero sí pueden ser usadas por ejecutables que las necesiten para poder funcionar. MULTITAREA: La multitarea es la característica de los sistemas operativos modernos de permitir que varios procesos se ejecuten al parecer al mismo tiempo compartiendo uno o más procesadores. Los sistemas operativos multitarea son capaces de dar servicio a más de un proceso a la vez para permitir la ejecución de muchos más programas. PROCEDIMIENTOS DE AUDITORÍA: Conjunto de técnicas que forman el examen de una partida o de un conjunto de hechos o circunstancias, con el propósito de alcanzar los objetivos del examen, y están diseñados fundamentalmente para obtener evidencia, que sustente las conclusiones de la Auditoría. PROGRAMA DE AUDITORÍA: Es el documento en el que se reflejan las pruebas

de cumplimiento y las pruebas sustantivas que se diseñaron como resultado de la evaluación de los objetivos de control interno.

14

RESUMEN

El presente trabajo de grado es planteado por las autoras en el contexto de la inquietud que surge de las mismas de la aplicabilidad de la Auditoria como ciencia que realiza una verificación, investigación, comprobación del cumplimiento de las directrices, normatividad, registros y procesos que son de aplicabilidad a una de las ciencias forenses aplicables en Colombia como lo es el análisis forense informatico. Frente la preocupación planteada, se aborda el tema desde una metodología deductiva abordando las generalidades de la auditoria, el análisis forense informatico los procesos, la legislación de Colombia, llegando a lo particular frente al campo de acción elegido siendo este el de los dispositivos móviles cuyo funcionamiento lo desarrolla basado en la tecnología Android. Para una mayor explicación de lo anterior, se abordo teorías, definiciones, se identificaron entidades o empresas que emplean el análisis forense informatico en Colombia y que serian las beneficiadas si así lo deciden de la guía que se propone en el desarrollo de la misma. Una vez desagregado los ítems descritos con anterioridad, se realiza una propuesta materializada en una guía para el análisis forense en dispositivos móviles en Colombia, en la que se ofrece como producto propio de la misma, los aspectos y papeles de trabajo a tener en cuenta una vez aplicado el estudio forense como una buena práctica y aseguramiento que lo realizado se efectúo correctamente. La guía propuesta si a bien lo tiene podría ser adoptada tanto por empresas de carácter público como privado en Colombia, entre las que se encuentran las de carácter regulatorio, de control e investigativo y de otra parte, empresas privadas que ofrecen dentro de sus servicios la prestación del servicio de análisis forense informatico.

Palabras Clave: Auditoria de Gestión, Telefono Móvil, Administración de Justicia

15

ABSTRACT This paper grade is raised by the authors in the context of the concern that arises from the same applicability of the audit as a science that makes a check, investigation, verification of compliance with the guidelines, regulations, records and processes that are applicability to a forensic science applicable in Colombia as it is computer forensics. Facing the concerns raised, the issue is approached from a deductive methodology addressing the generalities of the audit forensic analysis informatic processes, legislation in Colombia, reaching the particular field of action against chosen being the mobile devices whose operation is developed based on Android technology. For explanation of the above theories, definitions board, institutions or companies that employ computer forensics in Colombia and that would be the beneficiary if they choose the guide which aims at the development of it were identified. Once unbundled items described above, a proposal embodied in a guide for forensic analysis on mobile devices in Colombia, which is offered as own product thereof, aspects and working papers to consider is performed After the forensic study applied as a good practice and ensuring that the work done was performed correctly. The proposed guide if either has it could be adopted by both public companies private in Colombia, among which are the regulatory, control and research and on the other hand, private companies offering their services within the service delivery of computer forensics. Keywords: Audit Management, Mobile Phone, Administration of Justice

16

INTRODUCCIÓN Los avances tecnológicos demuestran la evolución del hombre, progresos que han modificado el vivir diario de las personas, en las que cada día hay mayor conexión a los dispositivos digitales, generando dependencia de los mismos, conllevando a que manejen, administren y almacenen la información en dispositivos cada vez más pequeños y transportables. Esta revolución en la que se enmarcan los adelantos tecnológicos, Juan Martínez Barea, la define como “el mundo se digitalizara cada vez más y sus productos físicos evolucionaran en la mezcla de de experiencia real y digital..”1, en este entendido, esta la mejora ostensiblemente de procesos y la transformación de los mismos, genera igualmente comportamientos que no se rigen bajo los valores éticos que como ser humano nos son inculcados en la niñez, lo que genera conductas antijurídicas. El Centro de INTERPOL contra la Delincuencia digital, indica que “que los delincuentes se aprovechan de las nuevas tecnologías, de la facilidad de los desplazamientos internacionales y del anonimato de las actividades en el mundo virtual..” adiciona “…En el mundo virtual, casi cualquier persona puede participar en un delito y borrar el rastro de su actividad de una manera que es prácticamente imposible en el mundo real..” 2 A causa de lo anterior con estos avances y frente a afirmaciones tales en la que indican que “Colombia sigue haciendo esfuerzos para contrarrestar el aumento de la ciberdelincuencia, estos no son suficientes” 3 las autoras deciden aborar la presente investigación, para ello se desarrolla en un capitulo el análisis forense, la auditoria forense, los dispositivos móviles basados en tecnología Android, en un capitulo siguiente, se identifican las entidades que en Colombia podrían favorecerse de una guía a aplicar al esperticio forense en aparatos de la referida tecnología. El análisis forense informático apareció debido a la necesidad de aportar elementos relevantes en los procesos judiciales en las que nuevas tecnologías se encontraban presentes.4, así mismo, permite obtener evidencias digitales cuando se genera un incidente o existe una conducta delictiva donde fueron

1 MARTINEZ, Barea Juan. El Mundo que viene. P16. Editorial Centro de Libros Grupo Planeta. ISBN 978-84-9875- 374-5 2 INTERPOL.Los fenómenos delictivos están cambiando. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL:http://www.interpol.int/es/Acerca-de-INTERPOL/El-Complejo-Mundial-de-INTERPOL-para-la-Innovaci%C3%B3n> 3 PORTAFOLIO.CO. Delincuencia Informática dejo 6 millones de víctimas en Colombia. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: http://www.portafolio.co/economia/delincuencia-informatica-colombia-2013> 4 COLOBRAN HUGUET, Miguel, ARQUEZ, Joseph Maria y MARCO GALINDO, Edward. Administración de Sistemas Operativos en red. Editorial UOC. ISBN: 978-84.9788-760-1. p254.

17

empleados instrumentos tecnológicos tales como el teléfono móvil, el computador, el disco, etc. Adicional a esto, la inmensa cantidad de nuevos dispositivos móviles que cada año se activan en todo el mundo hace que exista la preocupación de la necesidad que anuden esfuerzos, que se llevan a cabo en el ámbito del análisis forense de tales dispositivos, para la obtención de evidencias digitales, las cuales deben contar con un proceso para preservarlas, custodiarlas lo que conllevan a la documentación de procedimientos, protocolos y/o guías que permitan conocer los controles y pasos a seguir en la identificación, aseguramiento, extracción y análisis de las mismas, permiten que las pruebas obtenidas sean aceptadas. De otro lado, la auditoria “…es un proceso sistémico que facilita la evaluación posterior y selectiva de las actividades, operaciones y procesos..”5, es partiendo de este, que ilustra la importancia en generar mejores prácticas al análisis forense en el desarrollo de los retos que se afrontan con el propósito de combatir el delito informatico o la utilización de los dispositivos móviles en alguna modalidad delictual; generando como resultado una propuesta que puede ser agogida tanto por empresas gubernamentales que en cumplimiento de su mandato constitucional aplican la ciencia forense y aquellas que son su portafolio de servicios.

5 AUDITORIA GENERAL DE LA REPUBLICA. Auditoria. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL:http://www.auditoria.gov.co/index.php/procesos-misionales/participacion-ciudadana/glosario>

18

1. PLANTEAMIENTO DEL PROBLEMA En los cambios que la sociedad se ha visto avocada en los últimos años esta la de afrontar los avances tecnológicos que han sufrido los dispositivos electrónicos, entre ellos el que se migrado de ser un elemento estatico a uno móvil. Estos adelantos tecnologocios incorporan los dispositivos móviles, los cuales se han convertido en una extensión del ser humano, creándose la dependencia casi total por las aplicaciones que contienen; ejemplo de esta afirmación, son los aparatos que se suspenden cuando se dejan de mirar o los que comprenden cuando se emiten ordenes por voz, siendo capaces de responder en diferentes idiomas. Complemento de lo anterior, es la increíble simplificación que estos dispositivos realizan a las actividades que el ser humano diariamente desarrolla, donde no solo se constituye en un elemento de comunicación, sino que desde el mismo se puede realizar transacciones, almacenamiento de datos, entre otras; estas son características representativas que ofrece el mercado móvil, atrayendo la atención y el deseo de los consumidores. Desde esa perspectiva, los dispositivos móviles se han convertido en uno de los elementos más empleados por seres humanos, que no han sido ajenos, en ellos se maneja información privada, se navega el mundo cibernético, accediendo a múltiples fuentes de información desde pequeños dispostivos. La Cámara Colombiana de Informática y Telecomunicaciones, en entrevista realizada al Gerente de Operaciones de la Empresa Digiware, precisa que Colombia se encuentra en el noveno país en el mundo frente a delitos informáticos y el quinto a nivel Latinoamérica con crecientes problemas de seguridad informática, realiza su afirmación dado el crecimiento de la tecnología, el avance en la cobertura de internet y en la multiplicación de equipos tecnológicos. 6 Adicionalmente, en su documento Avances y retos de la defensa digital en Colombia7, este mismo organismo indica que:

Según un estudio realizado por la compañía MacAffe y la Organización de Estados Americanos (OEA), Colombia se posicionó como el sexto país en generar una mayor actividad maliciosa en línea para el año 2013. Por otro lado, en lo que respecta al costo, esta misma compañía estimó que el ciber-

6 CAMARA COLOMBIANA DE INFORMATICA Y TELECOMUNICACIONES. DELITOS INFORMÁTICOS. La Confianza, Principal herramienta de los delincuentes. [En Línea]. Bogotá. [citado noviembre 25 de 2014] Disponible en internet: <URL: http://www.ccit.org.co/files/SEGURIDAD%20INFORMATICA/Delitos_Informaticos.pdf> 7 CAMARA COLOMBIANA DE INFORMATICA Y TELECOMUNICACIONES. Avances y retos de la defensa digital en Colombia, Ed. noviembre de 2014

19

delito causó un daño económico al consumidor cercano a los 500 millones de dólares durante lo corrido de 2013, acercándose así cada vez más a los país que reciben mayores ataques cibernéticos en el mundo.

El anterior estudio, hace que Colombia genere un pensamiento más agresivo de combatir la ciberdelincuencia, es allí en la que dispositivos digitales, en la búsqueda de la verdad de los hechos que revisten la característica de un delito, se constituyen en gran aporte como elemento materia de prueba, que aportan información relevante que apoya una investigación en camino a la obtención de resultados con éxito. De la prueba digital, el Dr. Cano Jeimy, en su postura frente la admisibilidad de la prueba, precisa que en la Conferencia Internacional de Crimenes de Alta Tecnología y Computación Forense que fue convocada por la OCE (Internacional Organization Of Computer Evidence) en 1999, quedo como una importante reflexión de la misma, “…de los principios generales y definiciones de evidencia digital, la establece como la información de valor probatorio almacenada o transmitida en forma digital." 8 En Colombia, la recolección de los elementos materiales probatorios permitidos tanto por el ente investigador como la defensa técnica del acusado, es definida como la igualdad de armas en un proceso penal. El descubrimiento de pruebas, el legislador colombiano lo definió en la etapa de juicio como aquella que tiene un carácter adversarial, pudiéndose realizar una confrontación entre las partes: el acusador y el acusado9, de allí que la defensa, apoyándose en la parte técnica, adicionalmente de controvertir las pruebas mismas, han descubierto que es más eficiente para su ejercicio, debatir la técnica y metodología. Tal como lo afirma el Dr. Guerrero Peralta10, frente a su posición del descubrimiento probatorio en el nuevo proceso penal colombiano, precisa:

“…El ‘descubrimiento’ ha sido un instituto propiodel del proceso angloamericano y en realidad su introducción en el proceso penal es reciente, pues los datos históricos informan que sólo hasta los años sesenta aparece en la discusión doctrinal de los Estados Unidos de América. El ‘discovery’ intenta facilitar a las partes la adquisición del conocimiento de las fuentes elementos de prueba que posee cada una de ellas para el concreto desarrollo del juicio oral. Su objetivo se cifra en evitar que se

8 CANO, Jeimy José. Admisibilidad de la Evidencia Digital: De los conceptos legales a las características técnicas. Derecho de Internet y Telecomunicaciones. Facultad de Derecho. Universidad de Los Andes.

Editorial Legis. 2003. Bogotá. Pag. 195. Basado en la definición dada por el autor Casey E. en: Digital Evidence and Computer Crime, Academic Press, 2000. 9 CORTE CONSTITUCIONAL. Sentencia C-209 de 207. Descubrimiento de Pruebas. [En Línea]. Bogotá: [citado 24 de noviembre de 2014]. Disponible en internet: <URL: http://www.corteconstitucional.gov.co/relatoria/2007/c-209-07.htm> 10 GUERRERO PERALTA, Oscar Julián. Fundamentos Teórico Constitucionales del Nuevo Proceso Penal. Ediciones Nueva Jurídica. 2ª Edición. Bogotá, 2007. p.292.

20

introduzcan pruebas en sede de juzgamiento sobre las cuales no se pueda conformar un contradictorio adecuado, sobre todo para el acusado, que se presenta en desventaja frente a la Fiscalía que ha contado con todas las prerrogativas y medios para investigarlo. Por lo tanto es un medio de equilibrio entre las partes para un correcto ejercicio del contradictorio y obviamente del derecho a la defensa…”

Basados en el principio de igualdad de armas11, como la define la Corte Constitucional en sus diferentes pronunciamientos de la controversia de las pruebas, y en los desafíos que conlleva el combatir la delincuencia en Colombia, es lo que conlleva a las autoras del presente trabajo a generar como pregunta de investigación: ¿Cómo realizar auditoría al análisis forense que se práctica en Colombia sobre dispositivos móviles basados en tecnología Android? Parte del proceso que se surte en una investigación, es el garantizar y acreditar la metodología, técnica y análisis forense que se aplique, ya que pueden ser controvertidas en ejercicio del derecho que le ha conferido el legislador. Por lo anterior, es de gran importancia que los funcionarios y profesionales que elaboran el análisis forense cuenten con la certeza que la recolección, embalaje, análisis e informes realizados por los profesionales expertos en informática forense, tengan la aplicabilidad de una auditoría a los análisis forenses; esto con la finalidad que le brinde la seguridad de no ser desacreditados ni aún más la prueba en que se convierte un dispositivo móvil en un juicio con la legislación Colombiana; beneficiando de esta forma directamente a Fiscales y Peritos Forenses en computación. El contexto problemático en el que se diseñara la guía de auditoría del análisis forense en dispositivos móviles basados en tecnología Android, se inscribe en la temática y línea investigativa de "software inteligente y convergencia tecnológica" avalado por la Universidad Católica de Colombia, toda vez que al realizar el documento que evidencie que se cumplieron con los objetivos específicos planteados en este trabajo de grado, posibilitan tomar acciones preventivas y correctivas en el ámbito tecnológico para buscar un proceso de mejora de las capacidades de auditoría forense en Colombia, desarrollándose el mismo de una manera analítica a los procesos que son aplicados en lo que concierne a esta disciplina.

11 CORTE CONSTITUCIONAL. Sentencia C-205 de 2009. Principio de Igualdad de Armas y Derecho a la Defensa Técnica. [En Línea]. Bogotá: [citado noviembre 25 de 2014]. Disponible en internet: <URL: http://www.corteconstitucional.gov.co/relatoria/2009/c-025-09.htm>

21

1.1. ANTECEDENTES 12Según la Compañía Mobile World – SOTI Inc. el principal proveedor del mundo de Enterprise Mobility Management (EMM), los dispositivos Android, están liderando el mercado con más del 80% de la cuota de smartphone global. Consecuente a lo anterior, el que el ser humano está viviendo en un mundo totalmente conectado donde utiliza dispositivos móviles para enviar mensajes, realizar transacciones bancarias y almacenar información sensible, generando todo tipo de riesgo; el uso del smarthphone se ha convertido en el aliado perfecto del ser humano, inclusive para el apoyo de todo tipo de conductas que reviste la calidad de delito. Igualmente, señala el fundador de Mattica: "El reto más grande es que a pesar que existe la Ley, pocos jueces la entienden y a veces los fiscales no logran documentar los casos e identificar si realmente las conductas entran dentro de la tipificación de los delitos o no" 13Para Iván Darío Marrugo, abogado especialista en Derecho de Telecomunicaciones; el proceso de investigación y el de prueba pericial e informática es la principal dificultad para procesar este tipo de delitos. "Solo desde hace unos años tenemos una Ley de procedimiento administrativo (Ley 1437 de 2011) y el Código General del Proceso (Ley 1564) que abrió la posibilidad de admitir pruebas electrónicas en este tipo de juicios", agrega. No obstante, en Colombia en 2004 entra en vigencia la aplicabilidad de la Ley 906 de 2004, la cual ha incorporado en el ente de investigación como lo es la Fiscalía General de la Nación, la adopción de manuales, protocolos y guías, entre los que se encuentra el Manual de Custodia en la que se imparte pautas, parámetros y directrices para la recolección, manejo y disposición de los Elementos Materiales Probatorios, así mismo, la creación de unidades especializadas en análisis forense computacional, entre otros y la investigación en contexto, donde el rol más importante lo hace la oralidad, acreditación como testigos expertos, así mismo, adopta un Sistema de Gestión de la Calidad para optimizar sus procesos. La finalidad principal del análisis forense es la de obtener evidencias en una investigación, mientras que la de auditoría es la adopción de las buenas prácticas que ésta incorpora.

12SOTI LATAM, Comunicados de Prensa. La Tecnología Android de SOTI MobiControl permite a más de 35 OEM superar los retos empresariales de Android [En Línea]. Bogotá: [citado noviembre 25 de 2014]. Disponible en internet: URL:<http://www.soti.net/es/sala-de-prensa/comunicados-de-prensa/2014/02/> 13PEREZ GARCIA, Camilo. En Colombia se investigan los delitos informáticos. [En Línea]. Bogotá: [citado noviembre 25 de 2014]. Disponible en internet: URL:http:/ colombiadigital.net /actualidad/articulos-informativos.

22

Adicionalmente, cada día es más aceptado en la sociedad culturalmente, el que las cosas que se hagan se realicen de la mejor forma, no obstante, el papel del auditor en ocasiones es el rol menos apreciando en las organizaciones, por cuanto se crean conceptos desconocidos hacia esta profesión, olvidando que la auditoría es la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La tecnología Android, de acuerdo a la conferencia de IBASE SECURITY afirma, que es una de las que cuenta con más riesgos, por cuanto es una reciente práctica y adicionalmente permite desarrollos en código abierto, lo que no pasa con otros como lo es la blackberry y Iphone, al igual una de sus vulnerabilidades más altas es la dispersión en sus sistemas operativos. Según Kaspersky Lab que es una de las compañías de TI proveedores de software de seguridad para endpoints, que analiza y neutraliza amenazas; afirmó que durante el año 2012 el 99% de todo el malware móvil detectado, es decir más de 35.000 programas maliciosos apuntaban hacia la plataforma Android. 14 Las razones por las cuales existe un enorme crecimiento de malware de Android son por que la plataforma Android se ha vuelto el sistema operativo más usado por los smarthphones nuevos con más de un 70% de la porción del mercado; también por su tecnología abierta y la facilidad con que se pueden crear aplicaciones y la amplia variedad de aplicaciones en el marcado hechas sobre Android. Los objetos maliciosos más usados detectados en smartphones Android pueden dividirse en tres grupos principales: Virus troyanos de SMS Módulos de publicidad Exploits (aprovechamiento de vulnerabilidades) para ganar acceso de

raíz a los smartphones Se ha detectado malware en las tiendas de aplicaciones. Durante 2012, Kaspersky detectó programas maliciosos en Google Play, la tienda de aplicaciones Amazon y otras tiendas de aplicaciones de terceros.

14 KASPERSKY.Internet Security Center. Amenazas móviles. . [En Línea]. Bogotá: [citado octubre 20 de 2014]. Disponible en internet: <URL: http://latam.kaspersky.com/co/internet-security-center/threats/mobile>

23

2. OBJETIVOS DEL PROYECTO 2.1. OBJETIVO GENERAL

Diseñar una guía para la auditoría del análisis forense para dispositivos móviles basados en tecnología Android para la legislación colombiana. 2.2. OBJETIVOS ESPECIFICOS

Identificar la existencia de guías, protocolos y procedimientos para el análisis forense en dispositivos móviles basados en tecnología Android en Colombia.

Caracterizar las entidades Colombianas que requieren de la auditoría del análisis forense en dispositivos móviles basados en tecnología Android.

Desarrollar una guía para la auditoría del análisis forense en dispositivos móviles basados en tecnología Android para la legislación Colombiana.

24

3. ESTADO DEL ARTE La humanidad ha venido avanzando día a día, donde la tecnología es el centro de todas las actividades, y por ende nuestro pensamiento y nuestro intelecto cambia de acuerdo a la integración de nuevas culturas y entregando una nueva herramienta con la informática forense para poder aclarar conductas delictivas relacionadas con dispositivos digitales. Esta rama investigativa tuvo su origen desde el año 1984 cuando los laboratorios del FBI y otras agencias de los Estados Unidos que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. Se reconoce a Dan Farmer y Wietse Venema, los creadores del Forensics Toolkit (software forense), como los pioneros de la informática forense y actualmente, Brian Carrier, es probablemente uno de los mayores expertos mundiales en el tema.15 En Colombia, la Fiscalía General de la Nación16 cuenta con un grupo especializado dedicado a realizar investigaciones enfocadas en informática forense; asì mismo, en cumplimiento a lo dispuesto en la Constitución Politica, este mismo órgano investigativo, asigna funciones de Policía Judicial a la Policía Nacional, quienes de la misma manera, a partir de 2004, crea el laboratorio de informática forense adscrito a la Dirección de Investigación Criminal.17 3.1. ANALISIS FORENSE La informática forense se puede decir que es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Según como afirma el artículo de informática forense en Colombia: encuentra dentro los objetivos de la computación forense: “la necesidad de determinar los hechos ocurridos en un evento donde se interactúa con equipos de cómputo, buscando esclarecer los hechos, determinando la magnitud del incidente y los implicados”18. Siempre busca identificar material probatorio que pueda ser utilizado en un tribunal o simplemente apoye la gestión de riesgos mejorando la prevención de futuros incidentes.”

15 NUMPAQUE FRANCO, Edgar Alexander. Informática Forense En Colombia. [En Línea]. Bogotá: [citado octubre 20 de 2014]. Disponible en internet: <URL: http://glaxeanf.com/lecturas-de-interes/seguridad-informatica 16 LOMBO, Mauricio. CTI: Avances en Tecnología - TRAS EL RASTRO DE LA EVIDENCIA DIGITAL. En:

Huellas de la Fiscalía General de la Nación. Julio 17 de 2007. No. 55. ISSN 1657 – 6829, Pag. 19. [en línea, Consultado 5 de noviembre 2014].Disponible en Internet:<URL: http://www.fiscalia.gov.co/en/wp-content/uploads/2012/02/Huellas-55.pdf > 17 POLICIA NACIONAL.Centro Cibernetico Policial. [En Línea]. Bogotá: [citado octubre 20 de 2014]. Disponible en internet: <URL: http://www.ccp-gov.co/gilaf.php> 18 Op. Cit. NUMPAQUE, Franco.

25

El número de delitos informáticos viene en aumento a medida que avanza la tecnología, es por esto que el análisis forense viene aumentando su importancia, ya que siempre innovan en la forma de atacar, y esto conlleva a que se deben utilizar técnicas de análisis que estén acorde con la nueva tecnología. El análisis forense se basa tres objetivos fundamentales:

La persecución y procesamiento judicial de los delincuentes.

La compensación de los daños causados por los criminales informáticos.

La creación y aplicación de medidas para prevenir casos similares

En toda investigación forense se deben obtener evidencias suficientes y apropiadas y conocer las condiciones bajo las cuales dicha evidencia puede ser considerada como:

Admisible

Autentica

Completa

Confiable

Creíble Existe un procedimiento para realizar el análisis para la informática forense, estos sirven de base para las personas que realizan esta práctica de manera adecuadamente. Después de ocurridos los hechos se puede realizar el análisis en los laboratorios especializados con equipos dedicados a fines forenses, estos tienen la capacidad de examinar completamente la tecnología contenida dentro del sistema que haya surgido el incidente este análisis se le conoce como Post-mortem. En el momento en que se presume que se está sufriendo un incidente de seguridad en un dispositivo se pueden emplear herramientas de respuesta ante incidentes y realizar el análisis forense en el momento sin modificar el sistema analizado, a este proceso se le llama análisis en caliente y luego de este se realiza el análisis post-mortem. Se tienen un conjunto de procedimientos donde su objetivo primordial es preservar la evidencia digital permitiendo convertirse en la prueba en un proceso judicial; a este conjunto de pasos se conoce como cadena de custodia.19

19 Op. Cit. NUMPAQUE, Franco.

26

La cadena de custodia debe:

Reducir al máximo la cantidad de agentes implicados en el manejo o tratamiento de evidencias.

Mantener la identidad de las personas implicadas desde la obtención hasta la presentación de las evidencias.

Asegurar la firmeza de las evidencias.

Registros de tiempos, firmados por los agentes, en los intercambios entre estos de las evidencias. Cada uno de ellos se hará responsable de las evidencias en cada momento.

Asegurar la firmeza de las evidencias cuando las evidencias están almacenadas asegurando su protección.20

La secuencia de la cadena de la evidencia debe seguir el siguiente orden:

Recolección e identificación de evidencia.

Análisis.

Almacenamiento.

Preservación.

Transporte.

Presentación en el juzgado.

Retorno a su dueño. Los resultados de la cadena de custodia muestran:

Quién obtuvo la evidencia.

Dónde y cuándo la evidencia fue obtenida.

Quién protegió la evidencia.

Quién ha tenido acceso a la evidencia.

3.2. AUDITORÍA

La auditoría es el examen objetivo y sistemático de las operaciones financieras y administrativas de una entidad, practicado después de su ejecución y para que sea evaluada, revisada, analizada y reexaminada periódicamente que se efectúa a los libros de contabilidad, sistemas y mecanismos administrativos, así como a los métodos de control interno de una organización, con el objeto de determinar opiniones con respecto a su funcionamiento.

“El vocablo auditoría es sinónimo de examinar, verificar, investigar, consultar, revisar, comprobar y obtener evidencias sobre informaciones,

20 Op. Cit. NUMPAQUE, Franco.

27

registros, procesos, circuitos, etc. Hoy en día, la palabra auditoría se encuentra relacionada con diversos procesos de revisión o verificación que, aunque todos ellos tienen en común el estar de una u otra forma vinculados a la empresa, pueden diferenciarse en función de su finalidad económica inmediata, de tal manera que según este criterio podemos establecer una primera gran clasificación de la auditoría diferenciando entre auditoría económica y auditorías especiales. La palabra "auditoría" se originó en la antigüedad, al igual que el de auditor, nombre por el que se designaba a la persona que "oía" las rendiciones de cuentas de los Funcionarios y agentes reales, quienes por falta de instrucción no podían presentarlas por escrito.”21

3.3. AUDITORÍA DE SISTEMAS Las normas y estándares informáticos se deben someter a revisiones generales, la informática forma parte de la gestión de la empresa, por tal motivo y debido a su importancia en el funcionamiento de una empresa u organización, existe la auditoría de Sistemas.

“Según Alberto Gutiérrez de la Peña, “la auditoría de sistemas se encarga

de la evaluación de todos aquellos aspectos relacionados con los recursos informáticos de la organización como son software, hardware, talento humano, funciones y procedimientos, enfocados todos ellos desde el punto de vista administrativo, técnico y de seguridad; y propende por prevenir a la empresa de aquellos riesgos originados por omisiones, errores, violaciones, actos mal intencionados, desastres naturales, etc., asesorando y proporcionando recomendaciones y sugerencias a nivel directivo para lograr un adecuado control interno en la empresa.”22

3.4. AUDITORÍA AL ANÁLISIS FORENSE

En la actualidad se han realizado estudios y existen textos donde se abarca el tema de “Auditoría Forense” en donde se define el término como: “La auditoría forense debe entenderse como el proceso de recopilar, evaluar

y acumular evidencia con la aplicación de normas, procedimientos y técnicas de auditoría, finanzas y contabilidad, para la investigación de ciertos delitos, a los que se ha dado en llamar "financieros" o "de cuello blanco". En este tipo de delincuencia aún no se han definido las características particulares, dado que en las diferentes figuras penales concurren elementos diversos de difícil agrupamiento.

21 DE LA PEÑA GUTIERREZ, Alberto. Auditoría, un enfoque práctico. 1 ed. Madrid: Paraninfo, 2011. p 5. ISBN:978-84-9732-667-4 22 TAMAYO ALZATE, Alfonso. Auditoría de sistemas una visión práctica. 1 ed. Manizales: Universidad Nacional de Colombia, 2001. p 9 - 13. ISBN:958-9322-66-2

28

Debe quedar claro que si al ocurrir un hecho delictivo no existe la posibilidad de obtener evidencia documental sobre tratos, convenios, negocios u operaciones realizadas por la persona física o jurídica con otros participantes en la actividad económica, no será posible la utilización de las técnicas de auditoría para su comprobación y el investigador deberá proceder por otras vías. Por otra parte, aunque en la mayoría de los delitos financieros se involucran entidades con sistemas de control contable y administrativo en mayor o menor grado formalmente establecidos, es importante aclarar que también las personas físicas que han tenido alguna relación con las partes de un proceso penal por delincuencia económica, pueden tener en su poder evidencia comprobatoria de transacciones con otras personas, sean estas físicas o jurídicas, aunque no necesariamente sistematizada. Si existe evidencia documental de transacciones en manos de personas físicas, también pueden llegar a ser útil la participación del investigador financiero.”23

El tema de auditoría al análisis forense o auditoría a la informática forense, no se ha desarrollado y no existen textos donde se evidencie algún grado de investigación relacionado. 3.5. TECNOLOGÍA MÓVIL Podemos definir un dispositivo móvil como un aparato cuyo tamaño es pequeño y que una de sus principales características es su facilidad de portabilidad, igualmente éste tipo de elementos permite su sincronización de datos con equipos de cómputo de escritorio y otras de ellas es su conectividad.24 Un dispositivo móvil se diferencia de un computador de escritorio, al tener menos funcionabilidades, no requiere que su usuario sea una persona experta para poderlo manejar, su renovación se realiza en menor tiempo que otros dispositivos por el avance tecnológico. Existen varios tipos de dispositivos móviles, entre ellos encontramos los teléfonos, los cuales en un principio habían sido creados para recibir y realizar llamadas, aunque hoy día a éstos le han sido incorporadas funciones como la captura de imágenes, audios, lectura de documentos, conexión a redes, video llamadas. En este mismo ámbito, están las agendas digitales, siendo pensadas en un principio como simples organizadores personales que de igual manera evolucionaron al incluírseles aplicaciones que permiten la lectura de libros, conexión a internet, juegos, mapas, entro otros; y por último se encuentran las Consolas, que eran orientados a jugar pero que con el paso del tiempo agregan trabajos que realiza una agenda personal.

23 CHAVARRIA, Jorge. Auditoría Forense. 1 ed. San José: Universidad Estatal a Distancia, 2002. p 3 y 4. ISBN: 9977-64-801-8 24 PINTO, Daniela. Revista Infoweek. Ganando una Ventaja Competitiva con aplicaciones comerciales móviles. Edición 174. Octubre de 2009. Consultado noviembre de 2014

29

El Dr. Martín Cooper, fue el inventor del primero sistema de radio teléfono y fue quien realizó la primera llamada por teléfono móvil25, ya en los años 80 fue diseñado por él mismo el primer móvil lanzado al mercado, este fue conocido con el nombre de DynacTAC 8000X de la empresa Nokia, pesaba 800 gramos, su batería duraba tan solo 60 minutos, posteriormente, esta misma empresa lanza el Mobira Talkman, el cual era incorporado a un maletín que facilitaba la comunicación por varias horas, pasados los años, hacia 1989 Nokia lanza un teléfono más pequeño e incorpora a su diseño una tapa, concebido como el primer teléfono de bolsillo con batería de niquel Cadmio, siendo pesada este fue conocido como MicroTAC 9800X. Continuando con sus avances en la línea móvil, hacia los 90 innova con el teléfono Motorola 2900 o Bag Phone, el cual podría ser adaptado al carro, su diseño fue innovador, ya que su apariencia era la de un teléfono normal con cable, pero que se portabilizaba a través de una bolsa que integraba el transmisor, receptor y batería adaptable al automóvil.26 Y a su vez Nokia para el año 1992 lanzo su primer telefónico bajo la referencia 1011 en GSM, un año más tarde, IBM sorprende con el IBM Simon siendo el Primer SmartPhone. Apple por su parte diseño y comercializó el dispositivo conocido como la Newton, la cual se encontró en el mercado disponible para sus usuarios en el lapso de tiempo comprendido 1993 a 1998, siendo un elemento tecnológico innovador en su época al contar con un sistema reconocedor de lectura que permitía sincronizarse con el computador de sobremesa que fuera de la misma marca.27 Sin embargo, Nokia no desistía de sus avances tecnológicos para 1996 lanza su modelo StarTAC, el cual era el teléfono móvil del momento que se podía doblar en la mitad, siendo compacto y fácil para ser transportado; ya para 1997 lanza el primer Smartphone con CPU que deriva de un Intel 386 y contaba con 8mbytes de memoria RAM, fue bautizado como el Nokia 9000i, incorporando a este modelo una pantalla y teclado, estando dentro de sus funcionabilidades el poder recibir y enviar faxes , SMS, emails y su acceso a internet lo realizaba a través de los SMS. Para 1998 fue Nokia el que tras años de investigación rompe con la estética de los ya conocidos modelos de teléfonos móviles y lanza su móvil el Nokia 8810,

25 COOPER, Martín. Biografía del Creador del primer teléfono móvil. [En Línea]. Bogotá: [citado septiembre 20 de 2014]. Disponible en internet: <URL: www.ingeniatic.eultt.upm.es/index.php/personajes/ítem/321-cooper-martin> 26 SUAREZ, CARMEN. Evolución de Móviles. [En Línea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: http://dispositivosmobilesits.blogspot.com/2012/02/evolucion-de-moviles.html 27 ALAMEDA, David. Historia de Apple. [En Línea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en

internet: <URL: www.elmundo.es>

30

su diseño fue lujoso y era el primer teléfono que incorporaba internamente su antena; en 1999 Nolia lanza el modelo 3210 con más de 160 millones de teléfonos vendidos, Samsung por su lado lanza el SPH-M100 primer teléfono con soporte para música MPS y Beneffon Esc el primero con GPS Integrado. Por otra parte en 1999 nace la empresa RIM, quien para el año 2002 lanza la Blackberry 5810, primer modelo de la era de Blackberry que integra el soporte de datos en un dispositivo, este al integrar su teclado y la característica de datos, integra algunas funcionalidades de una agenda personal, este mismo año, Sprit y Sanyo, lanzan su teléfono SCP 5300, el cual fue el primer móvil que incorporo una cámara.28 En el año 2003, Motorola vuelve a tomar la bandera y lanza al mercado el primer teléfono delgado, con gran pantalla, teclado iluminado, cámara y opciones de multimedia, este fue denominado Razr V3. Finalmente a partir del año 2004, incursiono el termino de los smarphone, apareciendo el Treo 700W, primer Palm SmartPhone que opera con Windows Mobile. Para el 2007, innova Apple con su primer Iphone, como una nueva línea de teléfonos inteligentes este primer modelo poseía pantalla táctil capacitiva, altavoz y auricular, micrófono, cámara de 2 megapíxeles, jack para auriculares, conectividad EDGE y Wi-Fi con núcleo y una memoria RAM de 128 MB.29 En el 2010, sorprende al mercado la Terro Star Genus primer Smartphone Satelital y el LG Optimus 2X, que recibe el premio Guiness por ser el primer teléfono móvil que utiliza procesador de doble núcleo. Ya para el 2011 aparece con nuevas características algunos de la secuencia de modelos vistos anteriormente, entre ellos Apple Iphone con su modelo 4S, con doble nucle, dos antenas GSM y CDMS, el HTC EVO 4G, primer teléfono móvil en 4G con sistema Operativo Goovle Android 2.2. Y HTC Sense y LG con su Primer SmartPhone completaente 3D.30 Ya hemos hecho un recorrido por los modelos de los dispositivos móviles que innovaron en la evolución digital y en la vida del hombre, para ello, veremos cada una de las tecnología empleadas.

28 Ibíd., <http://dispositivosmobilesits.blogspot.com/2012/02/evolucion-de-moviles.html>. 29 REVISTA TÉCNOPASIÓN. Los Móviles más vendidos de la historia. [En Linea]. Bogotá: [citado septiembre 30 de 2014]. Disponible en internet: <URL: www.tecnopasion.com/los-moviles-mas-vendidos-de -la-historia-2736/ .> 30 GINVA INSPIRATION, DESING, FREEBIES. The Evolution Of The Cell Phone Between 1938-2011. [En

Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: http://ginva.com/2011/05/the-evolution-of-the-cell-phone-between-1938-2011/> BRIAN BARRETT. Sprint's HTC Evo, the First Ever 4G Phone: Meet the New Terrific. 23/03/2010. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: www.gizmodo.com/5500343/print-htc-the-firts-ever-4g-phone-meet-the-new-terrific >

31

Tecnologías de los dispositivos móviles. Reflejada la historia de los dispositivos móviles esta no es ajena de la evolución en las diferentes tecnologías que permiten su funcionamiento, a continuación se describen aspectos relevantes de cada una de ellas: 3.5.1. Symbian. El sistema operativo Symbian de propiedad de la empresa Nokia, quien tras acuerdos comerciales con importantes empresas de telefonía implementaron en sus dispositivos las diferentes versiones de Symbian, entre ellas, esta LG, Panasonic, Sony Ericson, Samsung; para el año 2011, Nokia unio sus esfuerzos a Microsoft para el desarrollo del Windows Phone, dejando al lado este sistema operativo.31

3.5.2. Palm os. Desarrollado por US Robotic en 1996, permitiendo la interfaz grafico de licencia no libre, siendo incluido en dispositivos móviles como Smartphone, relojes de pulsera, video consolas portátiles, escáneres de código de barras y GPS, este sistema operativo inicialmente de propiedad de Palm Inc.a quien ACCESS adquirio.

3.5.3. Windows Phone. Fue desarrollado por Microsoft, conocido como Windows Mobile, con este sistema operativo su creador incorpora beneficios en sus dispositivos como son permitir comunicaciones por video conferencia con Skype, Xbox Live y Ondrive, su desarrollo se encuentra basado Windows Embedded CE 6.0. Windows Phone utiliza la tecnología multi-touch.En su desarrollo Microsoft incorpora con este sistema operativo interfaces que prolongan la vida de las baterías con sus pantallas y su ingreso de datos es a través de un teclado táctil.32

3.5.4. Blackberry. Desarrollado por Research in Motion (RIM), siendo un Sistema operativo que se remontan su creación en 1999 de la gama de dispositivos smarphone, destacándose por incorporar un nivel de seguridad más altos que otros, en la configuración de cuentas de correo y la agenda de microsoft exchange. En el entorno corporativo, ofrece servicios como el BES permitiendo la sincronización de cuentas de correo configuradas en un equipo de cómputo de escrito con el del dispositivo móvil.33

3.5.5. IOS. Es el Sistema operativo que incorpora Apple a sus dispositivos como iPods touch, iPhones, iPad y singularmente también el Apple TV. Para el año 2007 la empresa fabricadora lanza el primer Iphone que incorporo este sistema,

31 ARROYO NATALIA. Información en el Móvil. 1 ed. Editorial UOC, 2011. ISBN: 978-84-9029-847-3 32 Op. Cit. ARROYO, Natalia. 33CULTURACIÓN. Blackberry OS; sistema operativo móvil de RIM. . [En Linea]. Bogotá: [citado septiembre 20 de 2014]. Disponible en internet: <URL:http://culturacion.com/2012/05/blackberry-sistema-operativo-

movil-de-rim/>

32

diferenciándose de los demás por haber incorporado Mapas, Mail, Fotos, iPod, Calendario, Calculadora, lanzada esta primera versión empezaron a incorporarse nuevas funcionabilidades como lo son el primer juego nativo no oficial.

3.6. TECNOLOGÍA ANDROID Android es una pila de software pensada inicialmente para teléfonos móviles que incluye un sistema operativo, middleware y una capa aplicaciones para que el teléfono pueda realizar funciones más allá de los dispositivos que se usaban antaño34. Fue desarrollado por la empresa Android Inc. y surge de la unión de varias empresas de tecnología que fue conocida como Open Hand Set Alliance, uno de las personas relacionadas con este sistema operativo es el Señor Andrew Rubin, quien es en la actualidad el vicepresidente de tecnología de Google, empresa que adquirió en 2005 a la empresa Android Inc. Android es la primera plataforma verdaderamente abierta y completa para dispositivos móviles. Incluye un sistema operativo, interfaz de usuario y aplicaciones. Todo el software para ejecutar un teléfono móvil, pero sin los obstáculos de propiedad que han obstaculizado la innovación móvil.35 Características Sistema operativo Android. El diseño Android es basado en Kernel de Linux en su versión 2.6, razón por la cual cuanta con características de ser libre, gratuito y multiplataforma, siendo creado principalmente para dispositivos móviles, entre ellos, los teléfonos inteligentes, Tablet, relojes y televisores. Otras de sus características principales36 son las siguientes: 3.6.1.1. Dispositivos. Generalmente, Android se adapta a pantallas de resolución alta, VGA, gráficos 2D, gráficos 3D y teléfonos tradicionales.

3.6.1.2. Almacenamiento. Se emplea SQLite, una base de datos que se

emplea para almacenar datos en el teléfono.

34 ROBLEDO SACRISTAN, Clodoaldo y ROBLEDO FERNANDEZ, David. Programación en Android. ISBN 978.84-369-5431-1 35GOOGLE. Google Launches Android, an Open Mobile Platform. . [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: http://googlesystem.blogspot.com/2007/11/google-launches-android-open-mobile.html> 36 GOOGLE. Google Mobile. . [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet:

<URL: http://www.google.com/mobile/android/>

33

3.6.1.3. Conectividad. Este sistema operativo soporta muchas conexiones: GSM/EDGE, IDEN, CDMA, EV-DO, UMTS, Bluetooth, Wi-Fi, LTE, HSDPA, HSPA+, NFC, WiMAX, GPRS, UMTS y HSDPA+.

3.6.1.4. Mensajería. Android es compatible con los SMS y MMS, pero todo queda reducido tras la existencia de la tienda de aplicaciones donde existen aplicaciones de mensajería instantánea como por ejemplo WhatsApp o Telegram.

3.6.1.5. Navegador. El sistema operativo cuenta con un navegador de Internet muy básico basado en WebKit que funciona con el motor JavaScript V8.

3.6.1.6. Soporte de Java. En su interior, Android cuenta con una arquitectura en Java, pero en su exterior, no cuenta con una máquina virtual basada en este lenguaje.

3.6.1.7. Soporte multimedia. Soporta gran cantidad de archivos multimedia de forma nativo: WebM, H.263/264, MPEG-4 SP, AMR, AMR-WB, AAC, HE-AAC, MP3, MIDI, Ogg Vorbis, WAV, PNG, GIF Y BMP.

3.6.1.8. Soporte streaming. RTP/RTSP y HTML5.

3.6.1.9. Soporte para hardware adicional. Se pueden incorporar cámaras de fotos, de vídeo, pantallas táctiles, acelerómetros y otros elementos que amplían el número de funciones que permite Android.

3.6.1.10. Entorno de desarrollo. Los desarrolladores pueden utilizar cualquier software que les permite crear aplicaciones en Java como por ejemplo Eclipse (integrado en Android).

3.6.1.11. Google Play Store. Android cuenta con una tienda de aplicaciones donde los desarrolladores publican sus aplicaciones, que amplían el número de funciones que realiza el sistema operativo de fábrica.

3.6.1.12. Multi-táctil. Android soporta cualquier tipo de pantalla multicaptativa.

3.6.1.13. Bluetooth. La conectividad Bluetooth que lleva de forma nativa Android tiene soporte A2DF y AVRCP.

3.6.1.14. Videollamada. Si el terminal tiene una cámara frontal, Android puede realizar video llamadas a través de Google Hangouts.

34

3.6.1.15. Multitarea. En Android, podemos dejar aplicaciones corriendo en segundo plano sin gastar muchos recursos del teléfono.

3.6.1.16. Tethering. Transfiere la conectividad 3G de tu dispositivo a otro a través de la conexión: “Tethering”.

Arquitectura del Sistema operativo Android. Al ser un sistema operativo de código abierto, su arquitectura está formada por varias capas que facilitan el desarrollo y creación de aplicaciones: Imagen 1 Arquitectura del Sistema Operativo Android

Fuente: ROBLEDO SACRISTAN, Clodoaldo y ROBLEDO FERNANDEZ, David. Programación en Android. ISBN 978.84-369-5431-1 [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: http://androideity.com/2011/07/04/arquitectura-de-android/>

A continuación una breve explicación de las capas de la arquitectura:37 3.6.1.17. Kernel de Linux. El núcleo actúa como una capa de abstracción entre el hardware y el resto de las capas de la arquitectura. El desarrollador no accede directamente a esta capa, sino que debe utilizar las librerías disponibles en capas superiores. De esta forma también nos evitamos el hecho de quebrarnos la cabeza para conocer las características precisas de cada teléfono. Si necesitamos hacer uso de la cámara, el sistema operativo se encarga de utilizar la que incluya el teléfono, sea cual sea. Para cada elemento de hardware 37Ibid. p33-40.

35

del teléfono existe un controlador (o driver) dentro del kernel que permite utilizarlo desde el software.

El kernel también se encarga de gestionar los diferentes recursos del teléfono (energía, memoria, etc.) y del sistema operativo en sí: procesos, elementos de comunicación (networking), etc.

3.6.1.18. Librerías. Están escritas en C o C++ y compiladas para la arquitectura hardware específica del teléfono. Estas normalmente están hechas por el fabricante, quien también se encarga de instalarlas en el dispositivo antes de ponerlo a la venta. El objetivo de las librerías es proporcionar funcionalidad a las aplicaciones para tareas que se repiten con frecuencia, evitando tener que codificarlas cada vez y garantizando que se llevan a cabo de la forma “más eficiente”.

Entre las librerías incluidas habitualmente encontramos OpenGL (motor gráfico), Bibliotecas multimedia (formatos de audio, imagen y video), Webkit (navegador), SSL (cifrado de comunicaciones), FreeType (fuentes de texto), SQLite (base de datos), entre otras. 3.6.1.19. Entorno de ejecución. Como podemos apreciar en el diagrama, el entorno de ejecución de Android no se considera una capa en sí mismo, dado que también está formado por librerías. Aquí encontramos las librerías con las funcionalidades habituales de Java así como otras específicas de Android.

El componente principal del entorno de ejecución de Android es la máquina virtual Dalvik (variación de la máquina virtual de Java). Las aplicaciones se codifican en Java y son compiladas en un formato específico para que esta máquina virtual las ejecute. La ventaja de esto es que las aplicaciones se compilan una única vez y de esta forma estarán listas para distribuirse con la total garantía que podrán ejecutarse en cualquier dispositivo Android que disponga de la versión mínima del sistema operativo que requiera la aplicación. Cabe aclarar que Dalvik es una variación de la máquina virtual de Java, por lo que no es compatible con el bytecode Java. Java se usa únicamente como lenguaje de programación, y los ejecutables que se generan con el SDK de Android tienen la extensión .dex que es específico para Dalvik, y por ello no podemos correr aplicaciones Java en Android ni viceversa. 3.6.1.20. Framework de aplicaciones. La mayoría de los componentes de esta capa son librerías Java que acceden a los recursos de las capas anteriores a través de la máquina virtual Dalvik. Siguiendo el diagrama encontramos:38

38Op. cit. ROBLEDO y ROBLEDO. Programación en Android. p33-40

36

Activity Manager. Se encarga de administrar la pila de actividades de nuestra aplicación así como su ciclo de vida.

Windows Manager. Se encarga de organizar lo que se mostrará en pantalla. Básicamente crea las superficies en la pantalla que posteriormente pasarán a ser ocupadas por las actividades.

Content Provider. Esta librería es muy interesante porque crea una capa que encapsula los datos que se compartirán entre aplicaciones para tener control sobre cómo se accede a la información.

Views. En Android, las vistas los elementos que nos ayudarán a construir las interfaces de usuario: botones, cuadros de texto, listas y hasta elementos más avanzados como un navegador web o un visor de Google Maps.

Notification Manager. Engloba los servicios para notificar al usuario cuando algo requiera su atención mostrando alertas en la barra de estado. Un dato importante es que esta biblioteca también permite jugar con sonidos, activar el vibrador o utilizar los LEDs del teléfono en caso de tenerlos.

Package Manager. Esta biblioteca permite obtener información sobre los paquetes instalados en el dispositivo Android, además de gestionar la instalación de nuevos paquetes. Con paquete nos referimos a la forma en que se distribuyen las aplicaciones Android, estos contienen el archivo .apk, que a su vez incluyen los archivos .dex con todos los recursos y archivos adicionales que necesite la aplicación, para facilitar su descarga e instalación.

Telephony Manager. Con esta librería podremos realizar llamadas o enviar y recibir SMS/MMS, aunque no permite reemplazar o eliminar la actividad que se muestra cuando una llamada está en curso.

Resource Manager. Con esta librería podremos gestionar todos los elementos que forman parte de la aplicación y que están fuera del código, es decir, cadenas de texto traducidas a diferentes idiomas, imágenes, sonidos o layouts. En un post relacionado a la estructura de un proyecto Android veremos esto más a fondo.

Location Manager. Permite determinar la posición geográfica del dispositivo Android mediante GPS o redes disponibles y trabajar con mapas.

Sensor Manager. Nos permite manipular los elementos de hardware del teléfono como el acelerómetro, giroscopio, sensor de luminosidad, sensor de campo magnético, brújula, sensor de presión, sensor de proximidad, sensor de temperatura, etc.

Cámara: Con esta librería podemos hacer uso de la(s) cámara(s) del dispositivo para tomar fotografías o para grabar vídeo.

Multimedia. Permiten reproducir y visualizar audio, vídeo e imágenes en el dispositivo.

37

3.6.1.21. Aplicaciones. En la última capa se incluyen todas las aplicaciones del dispositivo, tanto las que tienen interfaz de usuario como las que no, las nativas (programadas en C o C++) y las administradas (programadas en Java), las que vienen preinstaladas en el dispositivo y aquellas que el usuario ha instalado.

En esta capa encontramos también la aplicación principal del sistema: Inicio (Home) o lanzador (launcher), porque es la que permite ejecutar otras aplicaciones mediante una lista y mostrando diferentes escritorios donde se pueden colocar accesos directos a aplicaciones o incluso widgets, que son también aplicaciones de esta capa. Versiones del Sistema Operativo Android. Las versiones del Sistema Android39, dan inicio en el 2007 con su versión beta, para el siguiente año fue lanzada su versión 1.0, a partir del año 2009 las actualizaciones y nuevas versión han sido denominadas en orden alfabético:

Android Beta

Android 1.0 Apple Pie

Android 1.1 Banana Bread

Android 1.5 Cupcake

Android 1.6 Donut

Android 2.0/2.1 Eclair

Android 2.2.x Froyo

Android 2.3.x Gingerbread

Android 3.x Honeycomb

Android 4.0.x Ice Cream Sandwich

Android 4.1 Jelly Bean.

Android 4.2 Jelly Bean (Gummy Bear)

39GIRONES. Jesús Tomás. El Gran Libro de Android. 3ra. Edición 2013. Editorial Marcambo S.A. IBSN 978.84.267.1976-8.

38

Android 4.3 Jelly Bean

Android 4.4 KitKat

En la figura a continuación se visualiza cada una de las versiones y su respectiva imagen: Imagen 2 Versiones del sistema operativo Android

Fuente: GONZALEZ, Angel. Sistema Operativo Android. http://www.vinagreasesino.com/articulos/sistema-operativo-android.php40

3.7. PUBLICACIONES EXISTENTES

Dentro de la literatura existente relacionada al tema, se identifican las siguientes publicaciones:

Revista de Información, Tecnología y Sociedad. Informática Forense Para Móviles, este artículo proporciona información básica sobre la conservación, adquisición, examen, análisis y presentación de informes de pruebas digitales en los teléfonos celulares, pertinentes para hacer cumplir la ley de respuesta a incidentes y otros tipos de investigaciones. La guía se centra principalmente en las características de los teléfonos celulares, incluidos los teléfonos inteligentes con funciones avanzadas. También trata de las disposiciones que deben tomarse en cuenta durante el curso de una investigación del incidente. La guía está pensada para atender las circunstancias comunes que pueden ser encontradas por el personal de seguridad de la organización y los investigadores policiales, con la participación digital electrónica de datos que residen en los

40 GONZALEZ, Angel. Sistema Operativo Android. [En Linea]. Bogotá: [citado septiembre 26 de 2014].

Disponible en internet: <URL: http://www.vinagreasesino.com/articulos/sistema-operativo-android.php>

39

teléfonos celulares y medios de comunicación electrónicos asociados. También se destina a complementar las directrices existentes y profundizar en las cuestiones relacionadas con los teléfonos celulares su examen y análisis.41 Unification of digital evidence from disparate sources (Digital Evidence Bags). En este trabajo describe un nuevo enfoque para la adquisición y procesamiento de la evidencia digital obtenida de los dispositivos y fuentes digitales. Hasta la fecha, la captura de la evidencia digital ha estado basado siempre en su totalidad desde el dispositivo de origen y los diferentes métodos y depósitos (tipos de archivos) se utilizan para diferentes tipos de dispositivos digitales (por ejemplo, ordenador, PDA, teléfono móvil). Este documento define un nuevo enfoque llamado Evidencia digital Bolsa (DEB) que es un contenedor universal para la captura de la evidencia digital. Por otra parte, el concepto de la evidencia digital podría utilizarse para permitir la racionalización de captura de datos y permitir que múltiples fuentes de evidencia puedan ser procesados en un entorno multiprocesador distribuido y maximizando así el uso del poder de procesamiento disponible. El enfoque descrito en este trabajo permite por primera vez el proceso forense para extenderse más allá de la captura forense estática tradicional de la evidencia en la captura en tiempo real "en vivo" de la evidencia. Además de esto la Bolsa para pruebas digital se puede utilizar para proporcionar una pista de auditoría de los procesos llevados a cabo en las pruebas, así como la verificación de la integridad.42

Forensics and the GSM mobile telephone system. El sistema GSM se ha convertido en el sistema más popular para la comunicación móvil en el mundo. Los criminales suelen utilizar los teléfonos GSM y por lo tanto es una necesidad para los investigadores forenses entender que la evidencia puede obtenerse a partir del sistema GSM. Este documento explica brevemente los conceptos básicos del sistema GSM. Elementos de las pruebas que se pueden obtener desde el equipo móvil, la tarjeta SIM y la exploración de la red central. La existencia de herramientas para extraer esas pruebas y componentes del sistema, crean la necesidad de desarrollar procedimientos y herramientas forenses más sólidas para la extracción de tales pruebas. El documento concluye con una breve presentación sobre el sistema UMTS futuros, que se basa en gran parte en el diseño de GSM43

41 GOMEZ OCAMPO, Lizeth Marcela. Informática Forense Para Móviles. [En Linea]. Bogotá: [citado

septiembre 20 de 2014]. Disponible en internet: <URL: <http://www.revistasbolivianas.org.bo/scielo.php?pid=S199740442009000200007&script=sci_arttext&tlng=es> 42Unification of digital evidence from disparate sources (Digital Evidence Bags) [En Linea]. Bogotá: [citado noviembre 10 de 2014]. Disponible en internet: <URL: <http://dfrws.org/2005/proceedings/turner_evidencebags.pdf>

40

Developing Process For The Examination Of Cellular Phone Evidence. Las razones para la extracción de datos de los teléfonos celulares pueden ser tan variadas como las técnicas utilizadas para procesarlos. A veces sin embargo, sólo se necesita ciertos datos. En otros casos es necesario de un examen forense completo y el potencial completo de recuperación de datos borrados, extracción del sistema de archivos integrado y la memoria física. Debido a estos factores, la elaboración de directrices y procedimientos para la extracción y la documentación de los datos de los teléfonos celulares son extremadamente importantes. Este artículo entrega un resumen de las consideraciones del proceso para la extracción y la documentación de los datos del teléfono celular.44

Mobile Phone Forensic Analysis. Los recientes avances tecnológicos en los teléfonos móviles y el desarrollo de teléfonos inteligentes han dado lugar a un mayor uso y la dependencia en el teléfono móvil. La demanda de su uso ha dado lugar a problemas como el fraude, uso criminal y robo de identidad que han llevado a la necesidad del análisis forense para el teléfono móvil. Este artículo discute el análisis forense en el teléfono móvil, lo que significa, que haga uso de la misma y las herramientas de software utilizadas.45 Forensics and SIM cards: an Overview. Presenta la construcción de una herramienta para cumplir con la parte de recolección de evidencia (creación de la imagen). Aporta información más detallada en comparación con otros documentos acerca de los fundamentos sistemas de archivos que se encuentran en las tarjetas, toda esa información es utilizada para crear un algoritmo y programarlo en lenguaje C estándar.46 Estudio y Análisis De Evidencia Digital En Teléfonos Celulares Con Tecnología GSM Para Procesos Judiciales. Este análisis permite obtener evidencias o pruebas auténticas e íntegras, que contribuyen a la investigación en un proceso judicial, pudiendo posteriormente ser validadas para el mismo; en la actualidad

43 YNGVAR WILLASSEN Svein. Forensics and the GSM mobile telephone system.International Journal of

Digital Evidence. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: http://www.utica.edu/academic/institutes/ecii/publications/articles/A0658858-BFF6-C537-7CF86A78D6DE746D.pdf> 44 MURPHY Cindy. Developing Process For The Examination Of Cellular Phone Evidence. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: <http://mobileforensics.files.wordpress.com/2010/07/cell-phone-evidence-extraction-process-development-1-1-8.pdf> 45 CURRAN Kevin, ROBINSON Andrew, PEACOCKE Stephen, CASSIDY Sean. Mobile Phone Forensic Analysis. [En Linea]. Bogotá: [citado noviembre 15 de 2014]. Disponible en internet: <URL: <http://eprints.ulster.ac.uk/20680/2/IJCDF10.pdf> 46CASADEI Fabio, SAVOLDI Antonio, Gubian Paolo. Forensics and SIM cards: an Overview. [En Linea]. Bogotá: [citado noviembre 26 de 2014]. Disponible en internet: <URL: <http://www.utica.edu/academic/institutes/ecii/publications/articles/EFE3EDD5-0AD1-6086-28804D3C49D798A0.pdf>

41

el teléfono celular forma parte de la vida cotidiana de las personas y es por esta razón que éstos pueden estar involucrados en diferentes tipos de delitos. En este trabajo se establece qué evidencia digital potencial puede ser proporcionada por el teléfono celular, para lo cual se analiza la información del Equipo móvil y la Tarjeta SIM. Este análisis se desarrolla con base a estudios de investigadores nacionales, que han venido trabajando en el desarrollo de procedimientos para la validación de evidencia digital, y organismos internacionales que han desarrollado herramientas forenses especializadas en hardware y software, que ayudan a encontrar evidencia y analizarla para procesos judiciales47.

Publicaciones del NIST. A continuación se relacionan las publicaciones que el NIST (National Institute of Standards and Technology) ha publicado:

3.7.1.1. Guidelines on Mobile Device Forensics (NIST Special Publication 800-101). El Análisis forense de dispositivos móviles es la ciencia de la recuperación de la evidencia digital desde un dispositivo móvil, mediante métodos aceptados. El Análisis forense de dispositivos móviles es una especialidad en evolución en el campo de la ciencia forense digital. Esta guía proporciona una mirada en profundidad en los dispositivos móviles y explica las tecnologías involucradas y su relación con los procedimientos forenses. Este documento cubre los dispositivos móviles con características más allá de las capacidades de comunicación de voz y mensajes de texto simples. Esta guía también contiene procedimientos para la convalidación, conservación, adquisición, exploración, análisis y reporte de la información digital.48

3.7.1.2. Cell Phone Forensic Tools: An Overview and Analysis Update (NISTIR 7387). Cuando los teléfonos móviles u otros dispositivos celulares están implicados en un delito u otro incidente, los examinadores forenses requieren herramientas que permiten la recuperación adecuada y examinar rápidamente la información presente en el dispositivo. Este informe proporciona una visión general de las actuales herramientas diseñadas para la adquisición, el examen y la presentación de informes de datos descubiertos en dispositivos móviles celulares, y una comprensión de sus capacidades y limitaciones. Es una continuación de NISTIR 7250 de las

47 MALEZA Jorge, SANDOVAL Karina, HIDALGO Pablo. Estudio Y Análisis De Evidencia Digital En Teléfonos Celulares Con Tecnología GSM Para Procesos Judiciales. [En Linea]. Bogotá: [citado noviembre 26 de 2014]. Disponible en internet: <URL: <http://bibdigital.epn.edu.ec/bitstream/15000/4903/1/Estudio%20y%20an%C3%A1lisis%20de%20evidencia.pdf> 48 AYERS Rick, BROTHERS Sam y JANSEN Wayne. Guidelines on Mobile Device Forensics. NIST Special Publication 800-101 Revisión 1. [En Linea]. Bogotá: [citado noviembre 18 de 2014]. Disponible en internet: <URL:http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-101r1.pdf>

42

Herramientas forenses para teléfono celular, la cual se enfoca en presentar cambios que han sufrido las herramientas forenses, presenta nuevas herramientas que no fueron reportadas anteriormente manteniendo la misma estructura de trabajo que apoyen al análisis forense. El documento 7250 proporciona un panorama de las herramientas de software forense diseñadas para la adquisición, análisis, y reporte de datos almacenados en dispositivos móviles. La publicación conduce un estudio general sobre las capacidades y limitaciones para cada herramienta en detalle a través de una metodología basada en diferentes escenarios.49

49 AYERS Rick, JANSEN Wayne, MOENNER Ludovic, AURELIEN Delaitre. NISTIR 7250 – Cell Phone Forensic Tools: An Overview and Analysis can be accessed. [En Linea]. Bogotá: [citado noviembre 20 de 2014]. Disponible en internet: <URL: http://csrc.nist.gov/publications/nistir/nistir-7250.pdf>

43

3.8. ENFOQUE El enfoque de esta investigación es de carácter cualitativo, ya que se basa en métodos de recolección de datos sin medición numérica como las descripciones y observaciones de la información recolectada de los entes que se dedican a la Auditoría Forense en Colombia que coopera con los autores de este proyecto a identificar la situación actual de este tema.

50La historia de los métodos cualitativos, así como la observación descriptiva y las entrevistas son tan antiguos como la historia escrita, Wax (1971) señalado por Taylor y Bogdan (1987) manifiestan que los orígenes del trabajo de campo pueden rastrearse hasta historiadores, viajeros y escritores que van desde el griego Herodoto hasta Marco Polo, pero solo a partir del siglo XIX y principios del XX lo que ahora denominamos métodos cualitativos fueron empleados conscientemente en la investigación social. Desde la década de 1960 resurgió el empleo de los métodos cualitativos, que van desde estudios vigorosos y profundos, monografías, compilaciones, libros e incluso hasta periódicos. Actualmente son sorprendentes las investigaciones cualitativas con enfoques de sociólogos, antropólogos, psicólogos y otros estudiosos similares. Taylor y Bogdan (1987) definen a la metodología cualitativa en su más amplio sentido a la investigación que produce datos descriptivos: las propias palabras de las personas, habladas o escritas, y la conducta observable. Ray Rist (1977) citado por Taylor y Bogdan (1987) manifiesta que la metodología cualitativa, a semejanza la metodología cuantitativa, consiste en mas que un conjunto de técnicas para recoger datos. Es un modo de encarar el mundo empírico.

3.9. TIPO DE INVESTIGACIÓN Esta investigación es exploratoria y analítica. Se realiza una exploración del tema, ya que es relativamente desconocido, inicia desde la recolección de la información, revisando las guías existentes y descubriendo el estado actual de la auditoría Forense. Investigación analítica; porque una vez recolectada la información, ésta se puede desglosar para identificar los desarrollos que se han realizado en materia de auditoría Forense para dispositivos móviles.

“…Autores como Babbie (1979), Selltiz et al (1965) identifican tres tipos de investigación: exploratoria, descriptiva y explicativa. Así como Dankhe

50ANGULO LÓPEZ, Eleazar. Metodología Cualitativa. Universidad de Málaga. [En Linea]. Bogotá: [citado octubre 20 de 2014]. Disponible en internet: <URL: http://www.eumed.net/tesis-doctorales/2012/eal/metodologia_cualitativa.html#_ftn1>

44

(1986) propone cuatro tipos de estudios: exploratorios, descriptivos, correlacionales y experimentales. Hay quienes prefieren denominar estos últimos, estudios explicativos en lugar de experimentales pues consideran que existen investigaciones no experimentales que pueden aportar evidencias para explicar las causas de un fenómeno. Se puede decir que esta clasificación usa como criterio lo que se pretende con la investigación, sea explorar un área no estudiada antes, describir una situación o pretender una explicación del mismo. Los estudios exploratorios permiten aproximarnos a fenómenos desconocidos, con el fin de aumentar el grado de familiaridad y contribuyen con ideas respecto a la forma correcta de abordar una investigación en particular. Con el propósito que estos estudios no se constituyan en pérdida de tiempo y recursos, es indispensable aproximarnos a ellos, con una adecuada revisión de la literatura. En pocas ocasiones constituyen un fin en sí mismos, establecen el tono para investigaciones posteriores y se caracterizan por ser más flexibles en su metodología, son más amplios y dispersos, implican un mayor riesgo y requieren de paciencia, serenidad y receptividad por parte del investigador. El estudio exploratorio se centra en descubrir…”51

3.10. TÉCNICAS E INSTRUMENTOS En cuanto a las técnicas e instrumentos que se utilizan para el logro del desarrollo de los objetivos de este proyecto de investigación y teniendo en cuenta lo anteriormente descrito en el enfoque y el tipo de investigación, este proyecto se trabaja desde un análisis documental, dado que a partir de los datos que surgen de la indagación con los entes estatales y empresas que se dedican a la auditoría Forense en Colombia, estos se convierten en el insumo para el proceso analítico. De acuerdo con Cesar Augusto Bernal, “La investigación documental consiste en un análisis de la información escrita sobre un determinado tema, con el propósito de establecer relaciones, diferencias, etapas, posturas o estado actual del conocimiento respecto del tema objeto de estudio”.52

51 FRANKLIN. Yaqueline. Tesis de Investigación. Tomado de Dankhe. Diferentes diseños. Tipos de investigación. Colombia: McGraw-Hill. (1986). [En Linea]. Bogotá: [citado octubre 20 de 2014]. Disponible en internet: <URL: http://tesisdeinvestig.blogspot.com/2011/05/tipos-de-investigacion.html?showComment=1371610247620#c4929994189697217530> 52 BERNAL TORRES, Cesar Augusto. Metodología de la investigación. México: Pearson Educación, 2006. p 110. ISBN 970-26-0645-4

45

3.11. FASES DE LA INVESTIGACIÓN Este proceso se basará en una metodología con enfoque de carácter cualitativo y una investigación exploratoria y analítica, utilizando la técnica de análisis documental como insumo para el proceso analítico. La metodología de desarrollo del documento será el ciclo Deming PHVA (Planear, Hacer, Verificar, Actuar), ya que tiene un enfoque basado en procesos y facilita identificar, planificar, implementar y mejorar los procesos y procedimientos que se deben tener en cuenta para lograr el objetivo. En el diagrama que a continuación se expone, se plantea la puesta en marcha de la metodología para realizar la guía propuesta por las autoras. Imagen 3 Diagrama de la metodología para la auditoría del análisis forense en dispositivos móviles

METODOLOGIA PARA LA AUDITORIA DEL ANÁLISIS FORENSE EN DISPOSITIVOS MOVILES DE

TECNOLOGÍA ANDROID PARA LEGISLACIÓN COLOMBIANA

HACERPLANEAR VERIFICAR ACTUAR

ACTI

VIDA

DES

INICIO

1. Identificar el origen de la

auditoría

3. Establecer los objetivos de la

auditoria

4. Determinar los puntos que serán

evaluados.

5. Elaborar planes, programas y presupuestos

6. Identificar métodos,

herramientas, instrumentos y procedimientos

7. Asignar los recursos

12. Analizar la información.

13. Elaborar informe de hallazgos y

recomendaciones

14. Elaborar el informe detallado

15. Elaborar el informe ejecutivo

FIN

8. Inicio de la auditoria

9. Preparación de actividades de

auditoria

10. Realización de las actividades de

auditoria

11. Integrar los papeles de trabajo

resultados de la auditoria

16. Monitorear el programa de

auditoria

17. Revisar y mejorar el

programa de auditoria

Fuente: Los autores.

46

4. IDENTIFICACIÓN DE ACTIVIDADES EN EL ANÁLISIS FORENSE EN DISPOSITIVOS MOVILES

Se generan diagramas de procesos correspondientes a la cadena de custodia, análisis forense de dispositivos móviles y alistamiento de la computadora de análisis, esto con el fin de identificar el paso a paso del proceso de análisis forense y poder llegar a la identificación de los puntos de auditoría que se requieren para generar la guía. Inicialmente se establece el diagrama de procesos de la cadena de custodia (ilustración 4), donde se identifican los actores y las actividades por cada actor, los actores involucrados en este proceso son:

Primer respondiente

Funcionario Policía Judicial

Custodio

Fiscal

Juez

Transportador

Analista

Almacenista Dentro de la cadena de custodia se identifica un sub-proceso llamado análisis forense, para éste sub-proceso se genera el diagrama de procesos correspondiente llamado de la misma forma análisis forense (ilustración 5), donde se identifican 4 fases que son ejecutadas por el mismo actor en este caso es el analista, las fases identificadas son:

Fase 1: Documentación inicial.

Fase 2: Extracción lógica.

Fase 3: Extracción física.

Fase 4: Análisis de relaciones. Dentro de este diagrama se identifican las actividades realizadas en el análisis forense de dispositivos móviles por cada etapa y adicional se genera un sub-proceso llamado alistamiento de la computadora de análisis el cual hace referencia a las especificaciones técnicas con que debe contar el equipo desde el que se va a realizar el análisis forense y que son necesarias para la consecución del proceso de análisis forense, en la imagen 6 se identifica el diagrama de procesos del alistamiento de la computadora de análisis. Las siguientes son las actividades identificadas para el diagrama de procesos de cadena de custodia (ver imagen 4) y su respectiva descripción:

47

Tabla 1 Actividades Cadena de Custodia

N. ACTOR ACTIVIDAD

DESCRIPCIÓN

1 Primer respondiente

Recolecta el dispositivo

Se halla el dispositivo o se tiene en su poder ya sea por un civil o un policía judicial.

2 Primer respondiente

Notifica a la autoridad competente

En el caso de Colombia la autoridad competente es la Fiscalía General de la nación.

3 Funcionario Policía Judicial

Embala el dispositivo

Incluye el elemento en un contenedor adecuado para su preservación y diligencia el formato de rotulo donde se especifica el hallazgo, la cantidad y su forma de preservación.

4 Funcionario Policía Judicial

Rotula el dispositivo

Marca el contenedor con la información básica del dispositivo encontrado

5 Funcionario Policía Judicial

Diligencia el formato de la cadena de custodia

Realiza el registro de fecha, hora y el motivo del contacto con el elemento.

6 Funcionario Policía Judicial

Hace entrega del dispositivo

Se realiza la entrega del dispositivo al custodio para el caso de ser la misma persona se obvia este paso

7 Funcionario Policía Judicial

Rinde informe ante el fiscal

Informe de investigador de campo para que el fiscal pueda presentarlo solicitando la legalidad de la obtención.

8 Custodio Hace el registro como custodio

Diligencia fecha, hora y el motivo por el cual tiene contacto con el elemento.

9 Custodio Rinde informe ante el fiscal

El funcionario de policía judicial mediante informe escrito comunica al funcionario judicial (Fiscal) la obtención del Elemento Material Probatorio

10 Fiscal

Solicita la legalidad ante el juez de control de garantías

Es deber del delegado de la fiscalía general de la nación, solicitar ante el Juez de Control de Garantías aceptar la obtención de la prueba e impartir legalidad sobre los mecanismos de su obtención y conservación de la misma.

11 Juez Emite legalización

Decisión que imparte el juez de control de garantías ante la solicitud elevada por el funcionario judicial (fiscal).

12 Fiscal Emite orden Una vez impartido el control de legalidad, el fiscal emite orden dispuesto en la que dispone lo pertinente con el elemento material probatorio.

Fuente: Los autores.

48

Tabla 1: Actividades Cadena de Custodia (Continuación).

Nº ACTOR ACTIVIDAD DESCRIPCIÓN

13 Custodio

Realiza la entrega al transportador para envío al laboratorio forense

Si el dispositivo requiere de análisis forense, se debe solicitar al transportador el traslado al laboratorio forense para continuar con el procedimiento.

14 Transportador

Traslada el dispositivo al almacén de pruebas

El transportador toma el papel de custodio mientras el dispositivo este en su poder y realiza el traslado al laboratorio. Si el custodio es el mismo transportador se omite este paso.

15 Analista Recepción del dispositivo

El transportador hace entrega del dispositivo al analista forense quién a partir de este momento toma el papel de custodio del dispositivo.

16 Analista Emite el informe al fiscal

El funcionario de policía judicial con el rol de perito en informática forense, en el cual da a conocer los procedimientos realizados con el elemento material probatorio, la técnica y procedimientos utilizados y los resultados obtenidos del análisis practicado al elemento material probatorio.

17 Fiscal Toma decisiones

De acuerdo a los resultados entregados mediante informe escrito el fiscal instructor de la investigación, vera la pertinencia de los mismos para la investigación y adoptara las decisiones a que dé lugar.

18 Analista

hace entrega del dispositivo al almacenista

Con el propósito de continuar con los procedimientos que permitan la conservación del elemento material probatorio, el funcionario de policía judicial y/o perito en informática forense, realizara la entrega al almacén de evidencias.

19 Almacenista Recepción del dispositivo

Hace entrega del dispositivo al almacenista quién a partir de este momento toma el papel de custodio del dispositivo.

20 Almacenista Almacenamiento del dispositivo

El almacenista realiza el debido coloca miento del dispositivo, rotulado, documentación para que el dispositivo permanezca en el almacén de evidencias.

21 Custodio

Realiza la entrega al transportador para él envió al almacén de evidencias

Si el dispositivo no requiere de análisis forense, se debe solicitar al transportador el traslado al almacén de evidencias.

22 Transportador

Traslada el dispositivo al almacén de evidencias

El transportador toma el papel de custodio mientras el dispositivo este en su poder y realiza el traslado al almacén de evidencias. Si el custodio es el mismo transportador se omite este paso.

Fuente: Los autores.

49

Imagen 4 Diagrama de procesos Cadena de custodia

CADENA DE CUSTODIA DISPOSITIVO MOVIL

FUNCIONARIO POLICIA JUDICIAL

PRIMER RESPONDIENTE CUSTODIO TRANSPORTADOR ALMACENISTAANALISTAFISCAL JUEZ

ACTIV

IDADE

S

INICIO

1. Recolecta el dispositivo

¿Es policía judicial?

3. Embala el dispositivo

2. Notifica a la autoridad

competente

NO

SI

6. Hace entrega del dispositivo

10. Solicita la legalidad ante el

juez de control de garantías.

13. Realiza la entrega al

transportador para envió al laboratorio

forense

11. emite legalización

14. Traslada el dispositivo al almacen de evidencias

12. Emite orden

¿El elemento requiere analisis?

21. Realiza la entrega al

transportador para el envió al almacén

de evidencias

22. Traslada el dispositivo al almacén de evidencias

NO

SI

19. Recepción del dispositivo

20. Almacenamiento

del dispositivo

FIN

15. Recepción del dispositivo

ANALISIS FORENSE

16. Emite el informe al fiscal

17. Toma decisiones

18. Hace entrega del dispositivo al

almacenista

5. Diligencia el formato de la

cadena de custodia

4. Rotula el dispositivo

8. Hace el registro como custodio

9. Rinde informe ante el fiscal

7. Rinde informe ante el fiscal

Fuente: Los autores

50

El análisis forense del dispositivo móvil (imagen 5), se encuentra como un subproceso del diagrama anterior de cadena de custodia, en este subproceso se lleva a cabo la identificación, preservación, análisis y presentación de datos que sean válidos dentro del proceso legal, a continuación se describen las actividades que se identifican en este proceso de análisis forense. Tabla 2 Actividades de análisis forense

Nº FASES ACTIVIDAD

DESCRIPCIÓN

1 1 Registro cadena custodia Diligenciamiento del documento estándar de cadena de custodia

2 1 Registro en fotografías Se realiza el registro del estado actual en que se recibe el dispositivo móvil

3 1 Inspección Inicial del dispositivo

El Analista forense debe recomendar una estrategia de inspección que sea apropiada debe consultar el manual de usuario del equipo de telefonía celular

4 1 Documentar informa-ción del fabricante e informa ción relevante del sistema

En un nivel básico, las herramientas forenses estándar deberán ser capaces de recuperar datos activos.

5 2 Aislar comunicaciones Se recomienda someter al dispositivo a un equipo aislante de comunicaciones RF.

6 2 Conectar el dispositivo al PC

Se debe conectar el dispositivo con la computadora encargada del análisis utilizando en cable de datos u otro medio aceptado por el dispositivo.

7 2 Creación imagen del contenido del dispositivo

El analista forense debe crear inmediatamente una imagen del contenido de la memoria usando las herramientas apropiadas.

8 2 Recolección Evidencia Volátil

Mediante las aplicaciones, recolectar los datos que pudieran perderse al apagarse el dispositivo.

9 2

Extracción de informa-ción a examinar – Tipo de archivo - Metadatos – archivos protegidos con contraseñas – archivos comprimidos – encriptados

El analista forense debe examinar la información por tipo de archivo – con la capacidad de abrir archivos protegidos con contraseñas o archivos comprimidos o encriptados.

10 2 Recuperación de archivos Eliminados.

La mayoría de los sistemas operati-vos no eliminan la información en el momento en el que un Usuario solicita el borrado de un archivo determinado, sino que, de alguna manera, dejan registrado que el espacio que ocupa dicho archivo ahora se encuentra disponible. Los analistas deben utilizar las herramientas para la extracción de datos (MobilEdit y Device Seizure) que permiten realizar recuperación de datos eliminados.

11 2 Recuperación Evidencia No volátil

Mediante las aplicaciones, recolectar los datos del usuario almacenados en el dispositivo.

12 2 Documentar por medio de imágenes (video y fotografía)

Fotografiar o crear un video que grabe los datos adicionales relacionados con el usuario que no pudieron ser transferidos a través de las herramientas de software forenses

Fuente: Los autores.

51

Tabla 2 Actividades de análisis forense (Continuación).

Nº FASES ACTIVIDAD

DESCRIPCIÓN

13 2 Diligenciar Formato

Análisis Forense

Todos los datos recuperados deben quedar documentados a través de notas, que pueden realizarse de manera manual o a través de fotografías u hojas impresas

14 3

Extracción Física – Memoria ROM - SIM –

Medios de almacenamiento

externo

La extracción física comprende la búsqueda de la información directamente en el espacio de datos omitiendo todo tipo de estructura de sistema de archivos. Con lo cual se da caso omiso a los metadatos y se aplican diferentes técnicas sobre el contenido puro del bloque en el dispositivo de almacenamiento

15 4

Validar evidencia recolectada –

Inspección y análisis de la evidencia

La etapa de análisis de relaciones trata justamente de identificar relaciones entre conjuntos de archivos, con el fin de obtener una conclusión. Esto involucra puntualmente la Identificación de relaciones entre conjunto de archivos vinculados a una actividad en particular y la verificación de aplicaciones instaladas, entre otros.

16 4 Inspección y análisis

de la evidencia

El analista forense debe inspeccionar el contenido de la evidencia y la extracción de la información, lo cual es crítico para probar el caso. Antes de proceder con la inspección de la evidencia, se deben crear un número apropiado de copias de respaldo de la evidencia

17 4 Reconstrucción de Eventos y Prueba

El analista inicia esta fase con una colección de objetos junto con sus roles y características y terminará con una colección de eventos desordenados o parcialmente ordenados que pudieron haber ocurrido.

18 4 Secuencia de Eventos Después que el analista ha construido eventos individuales, es posible unirlos y vincularlos para crear cadenas de eventos.

19 4 Prueba Hipótesis

Después que los eventos han sido secuenciados, la hipótesis respecto al incidente puede ser validada. La teoría final, debe ser soportada por la evidencia y debe ofrecer una justificación. Cualquier valor de confianza que haya sido asignado durante la reconstrucción de eventos debe ser tomado en cuenta al momento de evaluar la hipótesis.

20 4 Continuar con la

cadena de custodia

El analista forense debe realizar el debido proceso que es el diligenciamiento del formato para entregar la evidencia analizada para continuar la cadena de custodia.

Fuente: Los autores.

52

Imagen 5 Diagrama análisis forense

ANALISIS FORENSE

FASE 1: Documentación inicial

FASE 2: Extracción lógica FASE 3: Extracción fisica FASE 4: Análisis de relaciones

AC

TIV

IDA

DES

INICIO

Registra la cadena de custodia

Por medio de fotografías genera

evidencia del estado en que fue recibido

el dispositivo

Inspección inicial del dispositivo

Documentar información del

fabricante

Documentar información relevante del

sistema

Aislar comunicaciones RF

Creación de la imagen del

contenido del dispositivo

Alistamiento de la

computadora de análisis

Conectar el dispositivo a la

computadora por medio del cable de datos u otro medio

aceptado por el equipo

¿La computadora de

análisis esta lista?

SI

NO

documentar por medio de imagenes (video y fotografia)

los datos adicionales

relacionados con el usuario que no

pudieron ser tranferidos a través de las herramientas

de software forenses

Diligenciar formato de análisis forense con la información

recolectada

Validar evidencia recolectada

Continuar con la cadena de custodia

de la evidencia recolectada

¿el dispositivo se apago?

SI

NORecolección de la evidencia volátil

Garantizar el nivel adecuado de

energia

Recolección evidencia no volátil

Mediante la aplicación de

análisis forense, recolectar los datos almacenados en el

dispositivo

Recolaectar información de memoria ROM

Extraer SIM y transferir los datos a la computadora

de análisis

Extraer información relacionada con el

servicio

Extraer información de directorio y de

llamadas

Información de mensageria

Información de localización

Recolectar información de

medios de almacenamiento

externos

Comparar visualmente los

registros de usuario presentados en la

pantalla del dispositivo con los transferidos a la

computadora

Busqueda de palabras en el

bloque del dispositivo

Extracción de archivos en espacio

desalojado (marcado como

libre) y nofragmentado

Extracción de archivos en espacios

desalojados, que puedan estarfragmentados

Suministre energía por medio del cargador o el

dispositivo correspondiente

Recuperación de archivos eliminados

Extracción de información a

examinar por tipo de archivo

Extracción de metadatos del

archivo presentes en el sistema de

archivos

Extracción lógicaExtracción de

archivos protegidos con contraseña

Extracción de archivos

comprimidos

Extracción de archivos

encriptados

Búsqueda lógicaBúsqueda de

determinado tipo de archivo oculto

Búsqueda de información en el área de paginado

del Sistema Operativo

Búsqueda de Información de Configuración

Búsqueda de Información en

Procesos en Memoria

Inspección y análisis de la evidencia

Reconstrucción de eventos y pruebas

Secuencia de eventos

Prueba de hipótesis

Crear un número apropiado de copias

de respaldo de la evidencia y trabajar en base a las copias

Inspección Análisis

FIN

Fuente: Los autores

53

Dentro del diagrama del proceso del análisis forense se encuentra el subproceso de alistamiento de la computadora de análisis, en este diagrama se describen las características técnicas y la preparación previa que debe poseer el equipo de computo con el que se va a realizar el proceso de análisis forense, esta preparación se debe cumplir ya que de ello depende la integridad de la información recolectada. Imagen 6 Diagrama de procesos alistamiento de la computadora de análisis

ALISTAMIENTO DE LA COMPUTADORA DE ANÁLISIS

HARDWARE SOFTWARE

AC

TIV

IDA

DES

INICIO

¿La computadora de análisis cumple con

las pruebas de verificación de desempeño?

Intel® Atom Processor 1.33 GHz

1 GB RAMMínimo 2 puertos

USB

SISTEMA OPERATIVO

Microsoft Windows 7 / 8

Parches de Sistema actualizados

NO

SI

Instalar la herramienta de análisis forense

móvil

Instalar una interfaz gráfica de usuario de Android ADV (Android Virtual

Device)

Posee componentes de

software para interactuar

correctamente con el

dispositivo

NO

SI

Disco Duro mínimo 100 GB

Discos duros externos sometidos

a operaciones de borrado seguro, la

capacidad depende de la necesidad.

FIN

Fuente: Los autores

Con base a éstos diagramas se generan las siguientes matrices con las que se realiza una comparación de los estándares actuales y existentes de la temática que se aborda. Iniciamos con lo que refiere el método inductivo de lo general a lo particular, por ello para el proceso de estudio objeto de la presente investigación, se aborda la normativa, leyes, procedimientos que interactúan y de las cuales se debe tener conocimiento (ver tabla 3).

54

Tabla 3 Leyes Colombianas

LEY COLOMBIANA

ARTICULO ENTIDAD EMISORA

ACTORES TEMA QUE TRATA

LEY 600 DE 2000

Art. 288

Congreso de la República

Funcionarios de Policía Judicial, Policía o Particulares

Obligación de la Fiscalía General de la Nación en reglamentar lo relacionado con el diseño, aplicación y control del sistema de Cadena de Custodia

RESOLUCION 1890 DE 2002

EN SU INTEGRIDAD

Fiscal General de la Nación

Funcionarios de Policía Judicial,

Policía o Particulares

Reglamenta el Artículo 288 de la Ley 600

LEY 906 DE 2004

Articulos 67, 114, 208, 213, 214, 215, 216, 254, 255, 256, 257, 258, 259, 260, 261, 262, 263, 264, 265, 266, 268, 276, 277, 278, 279, 280, 281, 484,

485.

Fiscal General de la Nación

Funcionarios de Policía Judicial,

Policía o Particulares

Por la cual se expide el Código de Procedimiento

Penal, tratando de los derechos fundamentales de

los Colombianos

Constitución Política de Colombia

15, 29, 209,

228, 249, 250, 251 Y 253

Asamblea Nacional

Constituyente

Fiscalía General de

la Nación (Fiscal, Investigadores)

Por la cual se expide el Código de Procedimiento Penal, tratando de los derechos fundamentales de los Colombianos

Resolución 0-2869 de

diciembre 29 de 2003, de la

Fiscalía General de la Nación,

Adopta el Sistema de

Procedimiento del Manual de

Custodia

Fiscal General de la Nación

Funcionarios de Policía Judicial,

Policía o Particulares

Por medio de la cual se adoptó el manual de procedimientos de cadena de custodia

Resolución 0-

6394 de diciembre 22 de

2004

Adopta el Manual de

Custodia para el Sistema

Penal Acusatorio

Fiscal General de la Nación

Funcionarios de Policía Judicial,

Policía o Particulares

Por medio de la cual se adopta el manual de procedimientos de cadena de custodia para el sistema penal acusatorio

Fuente: Los autores

55

Tabla 3 Leyes colombianas (Continuación).

LEY COLOMBIANA

ARTICULO ENTIDAD EMISORA

ACTORES TEMA QUE TRATA

Código de Procedimiento

Penal

241, 244, 245, 257, 288, 289 y

290

Congreso de la República

Funcionarios de Policía Judicial,

Policía o Particulares

Establece normas a través de las cuales garantizan en el proceso penal la autenticidad e identidad de los elementos materiales probatorios

Ley 1273 de 2009

Capítulo I

Congreso de la República

Particular, Funcionarios

Públicos

Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la Protección de la información y de los datos"

Fuente: Los autores

Desde la misma concesión de la Constitución Nacional de Colombia, ley rectora de las demás normatividad aborda crea a la Fiscalía General de la Nación como el organismo encargado de realizar investigación de hechos que revisten el carácter de delito. Para dar cumplimiento al mandato constitucional, incorpora a sus actividades la especialidad de la informática Forense como la técnica precisa que se asocia con la evidencia en la escena del crimen, como son la: identificación, preservación, extracción, análisis, interpretación, documentación y presentación de las pruebas. Adicionalmente, la informática forense o el análisis forense que se realiza a dispositivos electrónicos, permite la solución de conflictos tecnológicos que se evidencian en seguridad de la información y la protección de datos; con su uso se obtienen respuestas frente a fraudes, robo de información confidencial debido al uso erróneo dado a las tecnologías de la información.

Frente a los principios fundamentales que abarcan la auditoría y la seguridad información, Colombia avanzó con la creación de la Ley 1293 de 2009, normatividad que se adiciona a la Ley 906 de 2004 que crea el código penal colombiano, dedicando de esa forma un capitulo a la penalidad de aquellas conductas que se encuentren contra la confidencialidad, la integridad y la disponibilidad de los datos.

Para garantizar lo expresado en la referida ley, es preciso ahora abordar los estándares y buenas prácticas que se deben implementar y tener en cuenta en tas empresas que trabajan con procesos de TI y el análisis forense no es ajeno a estos, motivado en esto, se crea una matriz (tabla 4) de los framework que por una parte según ISACA son los lineamientos para auditoría, por otra parte ITIL que es la guía internacional de buenas prácticas para la gestión de TI versus las actividades que se realizan en el proceso de análisis forense, con el fin de identificar la afinidad de cada actividad con los framework anteriormente nombrados.

56

Tabla 4 Normatividad de Framework vs. Actividad

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT 5 ISACA ITIL edición 2011

Recolecta de dispositivo Principio 4. Hacer posible un enfoque

Holístico. Procesos: Las dimensiones del catalizador son Partes interesadas, Metas, Ciclo de vida y Buenas practicas, ésta es la guía necesaria para alcanzar los objetivos del proceso. Principio 4. Hacer posible un enfoque Holístico. Cultura, ética y comportamiento: Buenas prácticas para crear, fomentar y mantener el comportamiento deseado en toda la empresa.

Estándar de auditoría y aseguramiento de SI 1002 Independencia organizacional Estándar de auditoría y aseguramiento de SI 1003 Independencia profesional Estándar de auditoría y aseguramiento de SI 1006 Competencia Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia

Diseño del servicio, Gestión de la seguridad de la información: Confidencialidad garantizar que la información esté disponible exclusivamente para personas autorizadas

Notificar a la autoridad competente

Embalar el dispositivo Diseño del servicio, Gestión de la

seguridad de la información: Integridad garantizar que la información sea completa, precisa y este protegida contra cambios no autorizados.

Hacer entrega del dispositivo

Solicitar la legalidad ante el juez de control de garantías

Principio1. Satisfacer las necesidades de las partes interesadas: Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de recursos. Permite la creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante la cascada de metas. Principio 5. Separar el gobierno de la gestión: Establece una clara distinción entre gobierno y gestión.

Estándar de auditoría y aseguramiento de SI 1001 Estatuto de la función de auditoría Estándar de auditoría y aseguramiento de SI 1002 Independencia organizacional Estándar de auditoría y aseguramiento de SI 1003 Independencia profesional Estándar de auditoría y aseguramiento de SI 1004 Expectativa razonable Estándar de auditoría y aseguramiento de SI 1005 Debido cuidado profesional Estándar de auditoría y aseguramiento de SI 1006 Competencia Estándar de auditoría y aseguramiento de SI 1008 Criterios Estándar de auditoría y aseguramiento de SI 1206 Uso del trabajo de otros expertos Estándar de auditoría y aseguramiento de SI 1207 Irregularidades y actos ilegales

Transición del servicio, Gestión del cambio, es el proceso responsable de controlar el ciclo de vida de todos los cambios, permitiendo que se realicen cambios que son beneficiosos.

Emite legalización

Emite orden

Fuente: Los autores.

57

Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT 5 ISACA ITIL edición 2011

Realizar la entrega al

transportador para el envío al laboratorio

forense

Principio 4. Hacer posible un enfoque Holístico: Debe tener en cuenta varios componentes interactivos, se define un conjunto de catalizadores para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. Principio 4. Hacer posible un enfoque Holístico. Información: Importancia de las categorías y dimensiones de la calidad de la información y criterios de la información: Eficacia, eficiencia, integridad, fiabilidad, disponibilidad, confidencialidad, conformidad.

Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia

Diseño del servicio, Gestión de la seguridad de la información: Integridad garantizar que la información sea completa, precisa y este protegida contra cambios no autorizados.

Traslada el dispositivo al almacén de evidencias

Recepción del dispositivo

Emitir informe al fiscal

Principio1. Satisfacer las necesidades de las partes interesadas: Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de recursos. Permite la creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante la cascada de metas. Principio 5. Separar el gobierno de la gestión: Establece una clara distinción entre gobierno y gestión.

Estándar de auditoría y aseguramiento de SI 1401 Reportes

Transición del servicio, Gestión del cambio, es el proceso responsable de controlar el ciclo de vida de todos los cambios, permitiendo que se realicen cambios que son beneficiosos.

Toma decisiones

Estándar de auditoría y aseguramiento de SI 1001 Estatuto de la función de auditoría Estándar de auditoría y aseguramiento de SI 1002 Independencia organizacional Estándar de auditoría y aseguramiento de SI 1003 Independencia profesional Estándar de auditoría y aseguramiento de SI 1004 Expectativa razonable Estándar de auditoría y aseguramiento de SI 1005 Debido cuidado profesional Estándar de auditoría y aseguramiento de SI 1006 Competencia Estándar de auditoría y aseguramiento de SI 1008 Criterios Estándar de auditoría y aseguramiento de SI 1206 Uso del trabajo de otros expertos

Fuente: Los autores.

58

Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT 5 ISACA ITIL edición 2011

Análisis

forense

Principio 4. Hacer posible un enfoque Holístico. Principios políticas y marcos de trabajo: Transmitir la dirección e instrucciones de gestión del consejo de administración. Principio 4. Hacer posible un enfoque Holístico. Procesos: Las dimensiones del catalizador son Partes interesadas, Metas, Ciclo de vida y Buenas practicas, ésta es la guía necesaria para alcanzar los objetivos del proceso Principio 4. Hacer posible un enfoque Holístico. Estructuras organizativas: Principios operativos, ámbito de control, nivel de autoridad, delegación de responsabilidad y procedimientos de escalamiento. Principio 4. Hacer posible un enfoque Holístico. Cultura, ética y comportamiento: Buenas prácticas para crear, fomentar y mantener el comportamiento deseado en toda la empresa. Principio 4. Hacer posible un enfoque Holístico. Información: Importancia de las categorías y dimensiones de la calidad de la información y criterios de la información: Eficacia, eficiencia, integridad, fiabilidad, disponibilidad, confidencialidad, conformidad. Principio 4. Hacer posible un enfoque Holístico. Servicios, infraestructuras y aplicaciones: son pautas generales que gobiernan la implementación y uso de los recursos vinculados a las TI dentro de la empresa como: Reutilización, comprar frente a construir, simplicidad, agilidad, apertura Principio 4. Hacer posible un enfoque Holístico. Personas, Habilidades y competencias: Identificar las buenas practicas, habilidades para roles.

Estándar de auditoría y aseguramiento de SI 1002 Independencia organizacional Estándar de auditoría y aseguramiento de SI 1003 Independencia profesional Estándar de auditoría y aseguramiento de SI 1004 Expectativa razonable Estándar de auditoría y aseguramiento de SI 1005 Debido cuidado profesional Estándar de auditoría y aseguramiento de SI 1006 Competencia Estándar de auditoría y aseguramiento de SI 1007 Afirmaciones Estándar de auditoría y aseguramiento de SI 1008 Criterios Estándar de auditoría y aseguramiento de SI 1201 Planificación de la asignación Estándar de auditoría y aseguramiento de SI 1202 Evaluación de riesgo en planificación Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia Estándar de auditoría y aseguramiento de SI 1206 Uso del trabajo de otros expertos Estándar de auditoría y aseguramiento de SI 1207 Irregularidades y actos ilegales Estándar de auditoría y aseguramiento de SI 1401 Reportes Estándar de auditoría y aseguramiento de SI 1402 Actividades de seguimiento

*Diseño del servicio, Gestión de la seguridad de la información: Confidencialidad garantizar que la información esté disponible exclusivamente para personas autorizadas *Diseño del servicio, Gestión de la seguridad de la información: Integridad garantizar que la información sea completa, precisa y este protegida contra cambios no autorizados. *Diseño del servicio, Gestión de la seguridad de la información: Disponibilidad garantizar que la información esté disponible y se pueda usar cuando se necesite. *Diseño del servicio, Gestión de la seguridad de la información: Autenticidad y no repudio garantizar la confiabilidad de las transacciones y el intercambio de seguridad entre empresas asociadas

Fuente: Los autores.

59

Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT 5 ISACA ITIL edición 2011

Realizar la entrega al

transportador para el envío al

almacén de evidencias

Principio 4. Hacer posible un enfoque Holístico: Debe tener en cuenta varios componentes interactivos, se define un conjunto de catalizadores para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. Principio 4. Hacer posible un enfoque Holístico. Información: Importancia de las categorías y dimensiones de la calidad de la información y criterios de la información: Eficacia, eficiencia, integridad, fiabilidad, disponibilidad, confidencialidad, conformidad.

Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia

Diseño del servicio, Gestión de la seguridad de la información: Integridad garantizar que la información sea completa, precisa y este protegida contra cambios no autorizados.

Traslada el dispositivo al almacén de evidencias

Hacer entrega del dispositivo al

almacenista

Recepción del dispositivo

Almacenamiento del dispositivo

Fuente: Los autores.

60

Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

Registra la cadena de custodia

Principio 4. Hacer posible un enfoque Holístico. Procesos: Las dimensiones del catalizador son Partes interesadas, Metas, Ciclo de vida y Buenas practicas, ésta es la guía necesaria para alcanzar los objetivos del proceso. Principio 4. Hacer posible un enfoque Holístico. Cultura, ética y comportamiento: Buenas prácticas para crear, fomentar y mantener el comportamiento deseado en toda la empresa.

Estándar de auditoría y aseguramiento de SI 1001 Estatuto de la función de auditoría Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia Estándar de auditoría y aseguramiento de SI 1401 Reportes

Diseño del servicio, Gestión de la seguridad de la información: Integridad garantizar que la información sea completa, precisa y este protegida contra cambios no autorizados.

Por medio de fotografías genera evidencia del estado

en que fue recibido el dispositivo

Inspección inicial del dispositivo

Documentar información del fabricante

Transición del servicio, Gestión del conocimiento: reduce al mínimo la necesidad de redescubrir el conocimiento, se realiza la documentación necesaria para transferir el conocimiento.

Documentar información relevante del sistema

Fuente: Los autores.

61

Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

aislar comunicaciones RF Principio 4. Hacer posible un enfoque Holístico. Principios políticas y marcos de trabajo: Transmitir la dirección e instrucciones de gestión del consejo de administración. Principio 4. Hacer posible un enfoque Holístico. Procesos: Las dimensiones del catalizador son Partes interesadas, Metas, Ciclo de vida y Buenas practicas, ésta es la guía necesaria para alcanzar los objetivos del proceso Principio 4. Hacer posible un enfoque Holístico. Estructuras organizativas: Principios operativos, ámbito de control, nivel de autoridad, delegación de responsabilidad y procedimientos de escalamiento. Principio 4. Hacer posible un enfoque Holístico. Cultura, ética y comportamiento: Buenas prácticas para crear, fomentar y mantener el comportamiento deseado en toda la empresa. Principio 4. Hacer posible un enfoque Holístico. Información: Importancia de las categorías y dimensiones de la calidad de la información y criterios de la información: Eficacia, eficiencia, integridad, fiabilidad, disponibilidad, confidencialidad, conformidad. Principio 4. Hacer posible un enfoque Holístico. Servicios, infraestructuras y aplicaciones: son pautas generales que gobiernan la implementación y uso de los recursos vinculados a las TI dentro de la empresa como: Reutilización, comprar frente a construir, simplicidad, agilidad, apertura. Principio 4. Hacer posible un enfoque Holístico. Personas, Habilidades y competencias: Identificar las buenas practicas, habilidades para roles.

Estándar de auditoría y aseguramiento de SI 1201 Planificación de la asignación Estándar de auditoría y aseguramiento de SI 1202 Evaluación de riesgo en planificación Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia

Diseño del servicio, Gestión de la seguridad de la información: Disponibilidad garantizar que la información esté disponible y se pueda usar cuando se necesite.

Conectar el dispositivo por medio del cable de datos u otro medio

aceptado por el equipo

Creación de la imagen del contenido del dispositivo

Diseño del servicio, Gestión de la seguridad de la información: Integridad garantizar que la información sea completa, precisa y este protegida contra cambios no autorizados.

Garantizar el nivel adecuado de energía

Recolección de la evidencia volátil

Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia Estándar de auditoría y aseguramiento de SI 1006 Competencia Estándar de auditoría y aseguramiento de SI 1007 Afirmaciones Estándar de auditoría y aseguramiento de SI 1008 Criterios

Suministrar energía por medio del cargador o el dispositivo

correspondiente

Extracción lógica *Diseño del servicio, Gestión de la seguridad de la información: Confidencialidad garantizar que la información esté disponible exclusivamente para personas autorizadas *Diseño del servicio, Gestión de la seguridad de la información: Integridad garantizar que la información sea completa, precisa y este protegida contra cambios no autorizados. *Diseño del servicio, Gestión de la seguridad de la información: Disponibilidad garantizar que la información esté disponible y se pueda usar cuando se necesite *Diseño del servicio, Gestión de la seguridad de la información: Autenticidad y no repudio garantizar la confiabilidad de las transacciones y el intercambio de seguridad entre empresas asociadas

Recuperación de archivos eliminados

Extracción de información a examinar por tipo de archivo

Extracción de metadatos del archivo presentes en el sistema

de archivos

Fuente: Los autores

62

Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

Extracción de archivos protegidos con contraseña

Principio 4. Hacer posible un enfoque Holístico. Principios políticas y marcos de trabajo: Transmitir la dirección e instrucciones de gestión del consejo de administración. Principio 4. Hacer posible un enfoque Holístico. Procesos: Las dimensiones del catalizador son Partes interesadas, Metas, Ciclo de vida y Buenas practicas, ésta es la guía necesaria para alcanzar los objetivos del proceso Principio 4. Hacer posible un enfoque Holístico. Estructuras organizativas: Principios operativos, ámbito de control, nivel de autoridad, delegación de responsabilidad y procedimientos de escalamiento. Principio 4. Hacer posible un enfoque Holístico. Cultura, ética y comportamiento: Buenas prácticas para crear, fomentar y mantener el comportamiento deseado en toda la empresa. Principio 4. Hacer posible un enfoque Holístico. Información: Importancia de las categorías y dimensiones de la calidad de la información y criterios de la información: Eficacia, eficiencia, integridad, fiabilidad, disponibilidad, confidencialidad, conformidad. Principio 4. Hacer posible un enfoque Holístico. Servicios, infraestructuras y aplicaciones: son pautas generales que gobiernan la implementación y uso de los recursos vinculados a las TI dentro de la empresa como: Reutilización, comprar frente a construir, simplicidad, agilidad, apertura. Principio 4. Hacer posible un enfoque Holístico. Personas, Habilidades y competencias: Identificar las buenas practicas, habilidades para roles.

Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia Estándar de auditoría y aseguramiento de SI 1006 Competencia Estándar de auditoría y aseguramiento de SI 1007 Afirmaciones Estándar de auditoría y aseguramiento de SI 1008 Criterios

*Diseño del servicio, Gestión de la seguridad de la información: Confidencialidad garantizar que la información esté disponible exclusivamente para personas autorizadas *Diseño del servicio, Gestión de la seguridad de la información: Integridad garantizar que la información sea completa, precisa y este protegida contra cambios no autorizados. *Diseño del servicio, Gestión de la seguridad de la información: Disponibilidad garantizar que la información esté disponible y se pueda usar cuando se necesite. *Diseño del servicio, Gestión de la seguridad de la información: Autenticidad y no repudio garantizar la confiabilidad de las transacciones y el intercambio de seguridad entre empresas asociadas

Extracción de archivos comprimidos

Extracción de archivos encriptados

Búsqueda lógica

Búsqueda de determinado tipo de archivo oculto

Búsqueda de información en el área de paginado del sistema

operativo

Búsqueda de información de configuración

Búsqueda de información en procesos en memoria

Recolección evidencia no volátil

Mediante la aplicación de análisis forense, recolectar los datos

almacenados en el dispositivo

Recolectar información de memoria ROM

Extraer los datos a la computadora de análisis

Fuente: Los autores

63

Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

Extraer información relacionada con el servicio

Principio 4. Hacer posible un enfoque Holístico. Principios políticas y marcos de trabajo: Transmitir la dirección e instrucciones de gestión del consejo de administración. Principio 4. Hacer posible un enfoque Holístico. Procesos: Las dimensiones del catalizador son Partes interesadas, Metas, Ciclo de vida y Buenas practicas, ésta es la guía necesaria para alcanzar los objetivos del proceso Principio 4. Hacer posible un enfoque Holístico. Estructuras organizativas: Principios operativos, ámbito de control, nivel de autoridad, delegación de responsabilidad y procedimientos de escalamiento. Principio 4. Hacer posible un enfoque Holístico. Cultura, ética y comportamiento: Buenas prácticas para crear, fomentar y mantener el comportamiento deseado en toda la empresa. Principio 4. Hacer posible un enfoque Holístico. Información: Importancia de las categorías y dimensiones de la calidad de la información y criterios de la información: Eficacia, eficiencia, integridad, fiabilidad, disponibilidad, confidencialidad, conformidad. Principio 4. Hacer posible un enfoque Holístico. Servicios, infraestructuras y aplicaciones: son pautas generales que gobiernan la implementación y uso de los recursos vinculados a las TI dentro de la empresa como: Reutilización, comprar frente a construir, simplicidad, agilidad, apertura. Principio 4. Hacer posible un enfoque Holístico. Personas, Habilidades y competencias: Identificar las buenas practicas, habilidades para roles.

Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia Estándar de auditoría y aseguramiento de SI 1006 Competencia Estándar de auditoría y aseguramiento de SI 1007 Afirmaciones Estándar de auditoría y aseguramiento de SI 1008 Criterios

*Diseño del servicio, Gestión de la seguridad de la información: Confidencialidad garantizar que la información esté disponible exclusivamente para personas autorizadas *Diseño del servicio, Gestión de la seguridad de la información: Integridad garantizar que la información sea completa, precisa y este protegida contra cambios no autorizados. *Diseño del servicio, Gestión de la seguridad de la información: Disponibilidad garantizar que la información esté disponible y se pueda usar cuando se necesite. *Diseño del servicio, Gestión de la seguridad de la información: Autenticidad y no repudio garantizar la confiabilidad de las transacciones y el intercambio de seguridad entre empresas asociadas

Extraer información de directorio y de llamadas

Información de mensajería

Información de localización

Recolectar información de medios de almacenamiento externos

Comparar visualmente los registros de usuario presentados en la pantalla del dispositivo con los transferidos a la computadora

Búsqueda de palabras en el bloque del dispositivo

Extracción de archivos en espacio desalojado (marcado como libre) y no fragmentado

Extracción de archivos en espacios desalojados, que puedan estar fragmentados

Documentar por medio de imágenes (Video y fotografía) los datos adicionales relacionados con el usuario que no pudieron ser transferidos a través de las herramientas de software forenses.

Estándar de auditoría y aseguramiento de SI 1206 Uso del trabajo de otros expertos Estándar de auditoría y aseguramiento de SI 1207 Irregularidades y actos ilegales Estándar de auditoría y aseguramiento de SI 1401 Reportes

Fuente: Los autores.

64

Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

Diligenciar formato de análisis forense con la información recolectada

Principio 4. Hacer posible un enfoque Holístico. Principios políticas y marcos de trabajo: Transmitir la dirección e instrucciones de gestión del consejo de administración. Principio 4. Hacer posible un enfoque Holístico. Procesos: Las dimensiones del catalizador son Partes interesadas, Metas, Ciclo de vida y Buenas practicas, ésta es la guía necesaria para alcanzar los objetivos del proceso Principio 4. Hacer posible un enfoque Holístico. Estructuras organizativas: Principios operativos, ámbito de control, nivel de autoridad, delegación de responsabilidad y procedimientos de escalamiento. Principio 4. Hacer posible un enfoque Holístico. Cultura, ética y comportamiento: Buenas prácticas para crear, fomentar y mantener el comportamiento deseado en toda la empresa. Principio 4. Hacer posible un enfoque Holístico. Información: Importancia de las categorías y dimensiones de la calidad de la información y criterios de la información: Eficacia, eficiencia, integridad, fiabilidad, disponibilidad, confidencialidad, conformidad. Principio 4. Hacer posible un enfoque Holístico. Servicios, infraestructuras y aplicaciones: son pautas generales que gobiernan la implementación y uso de los recursos vinculados a las TI dentro de la empresa como: Reutilización, comprar frente a construir, simplicidad, agilidad, apertura. Principio 4. Hacer posible un enfoque Holístico. Personas, Habilidades y competencias: Identificar las buenas practicas, habilidades para roles

Estándar de auditoría y aseguramiento de SI 1206 Uso del trabajo de otros expertos Estándar de auditoría y aseguramiento de SI 1207 Irregularidades y actos ilegales Estándar de auditoría y aseguramiento de SI 1401 Reportes

Transición del servicio, Gestión del conocimiento: reduce al mínimo la necesidad de redescubrir el conocimiento, se realiza la documentación necesaria para transferir el conocimiento.

Validar evidencia recolectada

Estándar de auditoría y aseguramiento de SI 1002 Independencia organizacional Estándar de auditoría y aseguramiento de SI 1003 Independencia profesional Estándar de auditoría y aseguramiento de SI 1004 Expectativa razonable Estándar de auditoría y aseguramiento de SI 1005 Debido cuidado profesional Estándar de auditoría y aseguramiento de SI 1006 Competencia Estándar de auditoría y aseguramiento de SI 1007 Afirmaciones Estándar de auditoría y aseguramiento de SI 1008 Criterios Estándar de auditoría y aseguramiento de SI 1201 Planificación de la asignación Estándar de auditoría y aseguramiento de SI 1202 Evaluación de riesgo en planificación Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia Estándar de auditoría y aseguramiento de SI 1206 Uso del trabajo de otros expertos Estándar de auditoría y aseguramiento de SI 1207 Irregularidades y actos ilegales Estándar de auditoría y aseguramiento de SI 1401 Reportes

Operación del servicio, Gestión de eventos, proceso responsable de gestionar los eventos durante todo su ciclo de vida. *Operación del servicio, Gestión de problemas, proceso responsable de la gestión del ciclo de vida de todos los problemas desde la identificación, investigación, documentación y eventual remoción. *Operación del servicio, Gestión de acceso, proceso responsable de permitir que los usuarios hagan uso de los servicios de TI, datos u otros activos. Ayuda a proteger la confidencialidad, integridad y disponibilidad de los activos. *Operación del servicio, Gestión de incidentes, restaura los servicios a la operación normal tan pronto como sea posible y minimiza el impacto adverso sobre las operaciones del negocio

Inspección y análisis de la evidencia

Crear un número apropiado de copias de respaldo de la evidencia y trabajar en base a las copias

Inspección

Análisis

Fuente: Los autores.

65

Tabla 4 Normatividad de Framework vs. Actividad (continuación)

NORMATIVA DE FRAMEWORK

ACTIVIDAD COBIT ISACA ITIL edición 2011

Reconstrucción de eventos y pruebas

Principio1. Satisfacer las necesidades de las partes interesadas: Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de recursos. Permite la creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante la cascada de metas. Principio2. Cubrir la empresa extremo a extremo: Cubre todas las funciones y procesos dentro de la empresa, no se enfoca solo en la función de TI sino que trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por todos en la empresa. Principio 5. Separar el gobierno de la gestión: Establece una clara distinción entre gobierno y gestión.

Estándar de auditoría y aseguramiento de SI 1002 Independencia organizacional Estándar de auditoría y aseguramiento de SI 1003 Independencia profesional Estándar de auditoría y aseguramiento de SI 1004 Expectativa razonable Estándar de auditoría y aseguramiento de SI 1005 Debido cuidado profesional Estándar de auditoría y aseguramiento de SI 1006 Competencia Estándar de auditoría y aseguramiento de SI 1007 Afirmaciones Estándar de auditoría y aseguramiento de SI 1008 Criterios Estándar de auditoría y aseguramiento de SI 1201 Planificación de la asignación Estándar de auditoría y aseguramiento de SI 1202 Evaluación de riesgo en planificación Estándar de auditoría y aseguramiento de SI 1203 Desempeño y supervisión Estándar de auditoría y aseguramiento de SI 1204 Materialidad Estándar de auditoría y aseguramiento de SI 1205 Evidencia Estándar de auditoría y aseguramiento de SI 1206 Uso del trabajo de otros expertos Estándar de auditoría y aseguramiento de SI 1207 Irregularidades y actos ilegales Estándar de auditoría y aseguramiento de SI 1401 Reportes

*Operación del servicio, Gestión de eventos, proceso responsable de gestionar los eventos durante todo su ciclo de vida. *Operación del servicio, Gestión de problemas, proceso responsable de la gestión del ciclo de vida de todos los problemas desde la identificación, investigación, documentación y eventual remoción. *Operación del servicio, Gestión de acceso, proceso responsable de permitir que los usuarios hagan uso de los servicios de TI, datos u otros activos. Ayuda a proteger la confidencialidad, integridad y disponibilidad de los activos. *Operación del servicio, Gestión de incidentes, restaura los servicios a la operación normal tan pronto como sea posible y minimiza el impacto adverso sobre las operaciones del negocio.

Secuencia de eventos

Prueba de hipótesis

Continuar con la cadena de custodia

de la evidencia recolectada

Estándar de auditoría y aseguramiento de SI 1401 Reportes

Diseño del servicio, Gestión de la seguridad de la información: Integridad garantizar que la información sea completa, precisa y este protegida contra cambios no autorizados.

Fuente: Los autores.

66

La matriz Tecnología Android X Actividad hace referencia a la revisión de la tecnología Android que se puede utilizar al momento de hacer la referencia a cada una de las actividades correspondientes al análisis forense. Tabla 5 Tecnología Android vs Actividad

TECNOLOGIA ANDROID ACTIVIDAD

Partición system contiene los programas y configuraciones que el fabricante u operador móvil suministra inicialmente con el teléfono System Settings -> System

Inspección inicial del dispositivo

Documentar información del fabricante

Partición del kernel : Montada habitualmente a partir de la carpeta sys, contiene el kernel del sistema, así como los módulos y librerías asociados a éste y los datos y archivos de cada uno de los dispositivos, tales como la propia CPU

Documentar información relevante del sistema

Sistema E/S Debido a la flexibilidad de Android podemos conectarle dispositivos de entrada o salida muy fácilmente y por diversos medios.

Conectar el dispositivo por medio del cable de datos u otro medio aceptado por el equipo

directorio app / aplicaciones de sistema, tales como el lanzador de aplicaciones, las aplicaciones de contactos y de telefonía

Recolección de la evidencia volátil

El directorio etc. ubican en el directorio /system/media/audio : contiene las configuraciones estáticas del sistema, así como los sonidos de notificaciones y tonos de llamada que se incluyen por defecto

Extracción lógica

recuperación de archivos eliminados

Extracción de metadatos del archivo presentes en el sistema de archivos

Extracción de archivos protegidos con contraseña

Extracción de archivos comprimidos

Extracción de archivos encriptados

Extraer información de directorio y de llamadas

Información de mensajería

Información de localización

Partición data o directorio / contiene Los programas que instala el usuario y sus datos, así como los datos de las aplicaciones de sistema

Recolección evidencia no volátil

Partición sd-ext : permite la instalación de aplicaciones en la tarjeta de memoria System Settings -> Apps

Mediante la aplicación de análisis forense, recolectar los datos almacenados en el dispositivo

Almacenamiento externo extraíble y no extraíble Ruta: /sdcard/… o utilizar el método Environment.getExternalStorageDirectory() para que el sistema nos indique la ruta exacta.

Recolectar información de medios de almacenamiento externos

Fuente: Los autores.

67

La matriz Documentos de análisis forense vs Actividad hace referencia a los documentos en los cuales sirvieron como base para sustentar todo el proceso del análisis Forense. Tabla 6 Documentos analiss forense vs Actividad

ACTIVIDAD

LEY 906 DE 2004 Capitulo

V

Guide for First

Responders

Manual Procedimientos

Cadena de Custodia -

Fiscalía General de la Nación

Código de prácticas

para digital forensics. González,

David,

Fase1: Documentación Inicial

X

X

X

Fase2: Extracción lógica

X

X

Fase3: Extracción Física

X

Fase4: Análisis de Relaciones

X

Fuente: Los autores.

La ley 906 de 2004 en el capítulo V53 es muy específica en cuanto a la aplicación de la cadena de custodia con el fin de demostrar la autenticidad de los elementos probatorios y la evidencia física. El artículo 254 aclara las condiciones de recolección, preservación, embalaje y envío; al igual el registro de todas las personas que haya estado en contacto con esos elementos. El Fiscal General de la Nación reglamentará lo relacionado con el diseño, aplicación y control del sistema de cadena de custodia, de acuerdo con los avances científicos, técnicos y artísticos. El Manual de procedimientos del Sistema de Cadena de Custodia, fue adoptado por la Fiscalía General de la Nación, mediante la Resolución 0-6394 de 200454 con el objetivo de Unificar los criterios de funcionamiento del sistema de cadena de custodia, mediante la estandarización de los procedimientos de trabajo y el mejoramiento del servicio en la administración de justicia en el ámbito penal, con miras a encontrar la verdad y erradicar la impunidad.

53 CONGRESO DE LA REPUBLICA DE COLOMBIA. Ley 906 DE 2004. (1, septiembre, 2004). Por la cual se expide el Código de Procedimiento Penal. Bogotá: El Congreso, 2004. Capitulo V. 54 FISCALÍA GENERAL DE LA NACIÓN. Resolución 6394 de 2004. (22, diciembre, 2004). por medio de la cual se adopta el manual de procedimientos del Sistema de Cadena de Custodia para el Sistema Penal Acusatorio. Bogotá: El Fiscal General De La Nación, 2004. Artículo 254.

68

Este manual contempla las normas, el proceso y los procedimientos del sistema de cadena de custodia que permitirán alcanzar niveles de efectividad para asegurar las características originales de los elementos materia de prueba o evidencias físicas desde su recolección hasta su disposición final, dentro de una dinámica constante de mejoramiento y modernización, con el fin único de satisfacer las necesidades y expectativas de la administración de justicia para lograr una pronta y cumplida justicia. Con la implementación del manual se optimizarán los recursos que cada actor dispone para la realización de sus funciones y la responsabilidad que le compete en el Sistema de Cadena de Custodia. La guía Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition55 está destinada a ayudar a las autoridades estatales y locales y otros socorristas que puedan ser responsables de la preservación de una escena de crimen electrónico y por reconocer, recopilar y salvaguardar la evidencia digital. No es todas las situaciones inclusivas, sino direcciones encontradas en la escena del crimen y evidencia electrónica digital. Todas las escenas de los crímenes son únicas y de la sentencia del primer nivel de respuesta, los protocolos de la agencia, y la tecnología prevaleciente todos deben ser considerados en la aplicación de la información en esta guía. Los primeros en responder a la escena del crimen electrónico deben ajustar sus prácticas como las circunstancias, incluyendo el nivel de experiencia, condiciones y disposición equipos de orden. Las circunstancias de cada escena del crimen y federales, estatales, y las leyes locales pueden dictar actos o un orden determinado de acciones distintas de las descritas en esta guía. Los primeros en responder deben estar familiarizados con toda la información en esta guía y el cumplimiento de sus deberes y responsabilidades como las circunstancias lo exijan. La falta de procedimientos de actuación en procesos de recopilación y análisis de evidencia hace cada vez más difícil y repudiable la información o evidencia que se aporte a procesos judiciales. Muchas veces apelamos al uso de herramientas específicas para dicha labor ignorando que el medio usado también es repudiable. El "Código de prácticas para digital forensics" (Code of practices for Digital Forensics - CP4D)56 es una selección de criterios para guiar y asegurar actividades concernientes con el análisis de evidencia digital, él provee de recomendaciones y cubre aspectos legales, policiales y operacionales como requerimientos técnicos

55 U.S. DEPARTMENT OF JUSTICE OFFICE OF JUSTICE PROGRAMS. ELECTRONIC CRIME SCENE INVESTIGATION: A Guide for First Responders, Washington DC: U.S. National Institute of Justice, 2001. 56 GONZALEZ, David. Código de prácticas para digital forrensics. [En Línea]. http://cp4df.sourceforge.net/. [Consultado 20 de Octubre de 2014].

69

para adquisición, análisis y reporte de evidencia, colaboración con otros grupos de investigación, gestión de casos, soporte a la fuerza de la ley, desarrollo de políticas de seguridad para respuesta a incidentes y plan preventivo y de continuidad. CP4DF no es un manual técnico para análisis de computer forensics, CP4DF es un manual basado en criterios siguiendo el asesoramiento de la comunidad y expertos.

70

5. ENTIDADES COLOMBIANAS QUE REQUIEREN DE LA AUDITORÍA DEL ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES BASADOS EN

TECNOLOGÍA ANDROID Según el Banco de Desarrollo Empresarial – Bancoldex, en Colombia el segmento empresarial se encuentra dividido en micro, pequeña, mediana y grandes empresas, sin embargo, bajo esta clasificación se encuentran aquellas que están bajo la gobernabilidad del Estado y la de particulares, a estas se les distingue como públicas y privadas, para cumplir con la misonalidad con las que fueron concebidas las empresas, alguna de ellas implementan tecnología de punta, no siendo ajeno para sus procesos el análisis forense. En la siguiente tabla se reflejan aquellas entidades que realizan análisis forense y otras que desde su objeto social lo emplean como un servicio que ofrecen a terceros: Tabla 7 Entidades que realizan Análisis Forense en Colombia

ENTIDADES TIPO DE ENTIDAD

QUIENES SON DE LA APLICACIÓN

DEL ANÁLISIS FORENSE

URL

FISCALIA GENERAL

DE LA NACION

PÚBLICA

Es un organismo independiente adscrito a la Rama Judicial del Poder Público, es una entidad que nació con la Constitución Política de 1991, está obligada a adelantar el ejercicio de la acción penal y realizar la investigación de los hechos que revistan las características de un delito que lleguen a su conocimiento por medio de denuncia, petición especial, querella o de oficio, siempre y cuando medien suficientes motivos y circunstancias fácticas que indiquen la posible existencia del mismo.

La Fiscalía General de la Nación cuenta con el Grupo Especializado de Informática Forense adscrito a su Policía Judicial, es decir, el Cuerpo Técnico de Investigación, para el desarrollo de sus actividades tienen laboratorios de cómputo forense a nivel nacional que cuentan con la tecnología y el capital humano necesario para hallar evidencias digitales en procesos judiciales en el que esté vinculado cualquier dispositivo que funcione digitalmente.

LOMBO, Mauricio. CTI: Avances en tecnología - TRAS EL RASTRO DE LA EVIDENCIA DIGITAL. En: Huellas de la Fiscalía General de la Nación. Julio 17 de 2007. No. 55. ISSN 1657 – 6829, Pag. 19. [en línea, Consultado 5 de noviembre 2014].Disponible en Internet:<URL: http://www.fiscalia.gov.co/en/wp-content/uploads/2012/02/Huellas-55.pdf >

Fuente: Las Autoras

71

Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)

ENTIDADES TIPO DE ENTIDAD

QUIENES SON DE LA APLICACIÓN DEL

ANÁLISIS FORENSE

URL

POLICIA NACIONAL

PÚBLICA

La Policía Nacional es un cuerpo armado permanente de naturaleza civil, a cargo de la nación, cuyo fin primordial es el mantenimiento de las condiciones necesarias para el ejercicio de los derechos y libertades públicas, y para asegurar que los habitantes de Colombia convivan en paz.

La Fiscalía General de la Nación, se encarga de dirigir y coordinar las funciones de policía Judicial que en forma permanente cumple la Policía Nacional, para el desarrollo de las funciones conferidas, esta Entidad cuenta con un Centro Cibernético Policial adscrito a este está el Grupo Laboratorio Informática Forense a nivel nacional.

POLICIA NACIONAL.Centro Cibernetico Policial. [en línea, Consultado 5 de noviembre 2014].Disponible en Internet : < URL: http://www.ccp-gov.co/gilaf.php>

CONTRALO-RIA

GENERAL DE LA

NACION

PÚBLICA

La Contraloría General de la República (CGR) es el máximo órgano de control fiscal del Estado. Como tal, tiene la misión de procurar el buen uso de los recursos y bienes públicos y contribuir a la modernización del Estado, mediante acciones de mejoramiento continuo en las distintas entidades públicas.

Mediante la Resolución Nº 0202 del 30 de noviembre de 2012, crea y conforma el Grupo de Laboratorio de Informática Forense – LIF, encargado de apoyar los procesos de Indagación Preliminar; los procesos de Responsabilidad Fiscal; los procesos Disciplinarios y los procesos de Control Interno, mediante la identificación, la preservación, el análisis y la presentación de la evidencia digital, de manera que, el elemento probatorio sea legalmente aceptado dentro de los procesos mencionados.

MINISTERIO DE RELACIONES EXTERIORES DE COLOMBIA. Resolución Reglamentaria 202 de 2002. Editor: Diario Oficial No. 48.637. [en línea, Consultado 5 de noviembre 2014].Disponible en Internet : < URL: https://www.cancilleria.gov.co/sites/default/files/Normograma/docs/resolucion_contraloria_0202_2012.htm> CONTRALORIA GENERAL DE LA REPUBLICA. Economia Colombiana. Mayo - junio 2014. Edición No. 342. ISSN 01204998, Pag. 25-35. [en línea, Consultado 5 de noviembre 2014].Disponible en Internet:<URL: http://www.contraloria.gov.co/documents/10136/187840882/REC342_compilado_web.pdf/b3336b49-4cae-4a2f-9830-3eb89cdf27db>

Origen: Las Autoras

72

Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)

ENTIDADES TIPO DE ENTIDAD

QUIENES SON DE LA APLICACIÓN

DEL ANÁLISIS FORENSE

URL

PROCURA-DURIA

GENERAL DE LA

NACIÓN

PÚBLICA

Es el máximo organismo del Ministerio Público, conformado además por la Defensoría del Pueblo y las personerías. Es su obligación velar por el correcto ejercicio de las funciones encomendadas en la Constitución y la Ley a servidores públicos.

La Procuraduría General de la Nación, cuenta con una Dirección Nacional de Investigaciones Especiales, presta asesoría y colaboración técnico-científica que requieren las diferentes dependencias de la entidad y demás órganos que conforman en Ministerio Público, a su cargo se encuentra el laboratorio de informática forense.

PROCURADURIA GENERAL DE LA NACION. Contrato de Software y Hardware que conforma el laboratorio forense. [en línea, Consultado 5 de noviembre 2014].Disponible en Internet : < URL: www.procuraduria.gov.co/descargas/.../licitacion102009_contrato061.doc>

SUPERIN-TENDENCI

A DE INDUSTRI

A Y COMERCI

O

PÚBLICA

Es la entidad encargada de la protección de los derechos con los que cuentan los consumidores, proteger la libre competencia autoridad nacional de la propiedad industrial y defiende los derechos fundamentales relacionados con la correcta administración de datos personales.

Cuenta con un Laboratorio forense que apoya las visitas que practica la superintendencia, en la verificación de la información de los equipos de cómputo de las entidades objeto de supervisión.

SISTEMA ELECTRONICO DE CONTRATACIÓN PÚBLICA. Detalle del

Proceso Número SIC No 54 DE 2014 de la Superintendencia de Industria y Comercio. Consultado 12 de noviembre de 2014. Disponible en Internet: <URL: https://www.contratos.gov.co/consultas/detalleProceso.do?numConstancia=14-9-390820>

ADALID Security, Legal & Forensic

Corporation

PRIVADA

ADALID es la única compañía de América Latina con un portafolio diversificado que incluye tres marcadas líneas de negocio: Seguridad de la Información, Servicios Legales de Alta Tecnología y Sistemas Forenses.

En su portafolio de servicios ofrece los de peritaje informático para ello cuenta con Laboratorio de Informática Forense y la recolección, análisis, recuperación, presentación y controversia de pruebas digitales.

ADALID Security, Legal & Forensic Corporation. Portafolio de Servicios Forenses. [en línea, Consultado 5 de noviembre 2014].Disponible en Internet : < URL: http://www.adalid.com/espanol/servicios_forenses.html#book/page/1>

Fuente: Las Autoras

73

Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)

ENTIDADES TIPO DE ENTIDAD

QUIENES SON DE LA APLICACIÓN

DEL ANÁLISIS FORENSE

URL

DIGITAL CENTER

PRIVADA

Digital Center es una empresa Colombiana líder en la recuperación profesional de datos perdidos así como en el borrado de información de manera segura, nuestra empresa está ubicada en Medellín, con 14 años de experiencia ofreciendo sus servicios para toda Colombia y el mundo.

Cuentan con un laboratorio de recuperación de datos informáticos dentro de sus principales servicios ofrece Back Up en sitio o remoto, Análisis Forense, Borrado total y permanente de archivos, Peritaje Informático y Reciclaje de medios

DIGITAL CENTER. Nuestros Servicios. [en línea, Consultado 5 de noviembre 2014].Disponible en Internet : < URL: http://www.digitalrecovery.com.co/servicios.htm>

INVESTIGA-CIONES

ESTRATEGI-CAS &

ASOCIADOS LTDA

PRIVADA

Empresa nacional de alcance internacional, especializada en la asesoría y consultoría en investigación criminal, fraude empresarial, peritajes, auditoría contable e informática forense y la usurpación de marcas.

Ofrecen la tecnología y el personal especializado para realizar la recuperación, preservación y decodificación de evidencia digital obtenible de equipos de cómputo, teléfonos móviles, dispositivos de almacenamiento y de contenidos en servicios de Internet e Intranet como correos electrónicos, redes sociales y páginas web.

INVESTIGACIONES ESTRATEGIAS & ASOCIADOS LTDA. Laboratorio Forense. [en línea, Consultado 5 de noviembre 2014].Disponible en Internet : < URL: http://investigacionesestrategicas.com/?page_id=340>

Fuente: Las Autoras

Consultadas diferentes fuentes de información se evidencio que otras entidades en Colombia que ejercen control a las actividades de otras, apoyan económicamente y bajo la figura de donaciones a instituciones que por su misionalidad les compete realizar análisis forense, caso particular, la Superintendencia Financiera, quien a través de la bancacolombiana realiza aportes a los laboratorios forenses de la Policía Nacional y Fiscalía General de la Nación.57

57 ASOBANCARIA. Semana Económica. Ed. 809. 5 de julio de 2011. p.7. [en línea, Consultado 15 de noviembre

2014]. Disponible en Internet : < URL: http://www.asobancaria.com/portal/pls/portal/docs/1/1384048.PDF>

74

Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)

ENTIDADES TIPO DE ENTIDAD

QUIENES SON DE LA APLICACIÓN DEL

ANÁLISIS FORENSE

URL

SUPERIN-TENDENCIA

DE SOCIEDA-

DES

PUBLICA

Ejercer las funciones de supervisión y jurisdiccionales sobre el sector real de la economía y demás personas determinadas por la ley, atender la insolvencia, resolver los conflictos empresariales, los trámites societarios y expedir y divulgar la doctrina jurídica y contable, con el fin de contribuir a la preservación del orden público económico, aplicando los principios de transparencia, de buen gobierno y atendiendo los compromisos con el desarrollo sostenible propios del estado social de derecho.

La Superintendencia de Sociedades, conserva información de sus usuarios (Ciudadano, Proveedor, empleado); esta información ha sido recolectada en el desarrollo de sus funciones públicas, en el momento que como usuario ha tenido contacto con la Superintendencia de Sociedades.

Superintendencia de sociedades[en línea, Consultado en noviembre 2014].Disponible en Internet : http://www.supersociedades.gov.co/superintendencia/mision-y-vision/Paginas/default.aspx

SUPERIN-TENDENCIA DE SALUD

PUBLICA

Ejerce la Inspección, Vigilancia y Control sobre las actividades concernientes a la prestación de los Servicios de Salud en los Seguros Sociales Obligatorios, asistencia pública, atención médica a cargo de entidades creadas o sostenidas por el estado; y sobre la liquidación, recaudo y transferencia de los recursos fiscales que se aplican a tales actividades, ampliando los sujetos a los Prestadores Públicos, Entidades de Asistencia.

Adelantar los procesos de intervención forzosa administrativa para administrar o liquidar las entidades vigiladas que cumplen funciones de Entidades Administradoras de Planes de Beneficios de Salud - EAPB o las que hagan sus veces, prestadores de servicios de salud de cualquier naturaleza y monopolios rentísticos cedidos al sector salud no asignados a otra entidad, así como intervenir técnica y administrativamente las Direcciones Territoriales de Salud.

Superintendencia de salud[en línea, Consultado en noviembre 2014].Disponible en Internet : http://www.supersalud.gov.co/supersalud/Default.aspx?tabid=74

Fuente: Las Autoras

75

Tabla Nº 7. Entidades que realizan Análisis Forense en Colombia (Continuación)

ENTIDADES TIPO DE ENTIDAD

QUIENES SON DE LA APLICACIÓN

DEL ANÁLISIS FORENSE

URL

SUPERIN-TENDENCIA FINANCIE-

RA

PUBLICA

La Superintendencia Financiera de Colombia, es un organismo técnico adscrito al Ministerio de Hacienda y Crédito Público. Su misión es preservar la confianza pública y la estabilidad del sistema financiero; mantener la integridad, la eficiencia y la transparencia del mercado de valores y demás activos financieros; y velar por el respeto a los derechos de los consumidores financieros y la debida prestación del servicio.

Utiliza el análisis forense para la intervención financiera por medio de metodologías para las Entidades Financieras que así lo requieran.

Superintendencia financiera[en línea, Consultado en noviembre 2014].Disponible en Internet : https://www.superfinanciera.gov.co/jsp/index.jsf

UNIDAD DE INFORMA-

CIÓN Y ANÁLISIS FINANCIE-RO UIAF

PUBLICA

La UIAF es la unidad de inteligencia financiera y económica de Colombia, dedicada a la protección de la defensa y la seguridad nacional desde una perspectiva económica. La unidad cumple su misión mediante la realización de inteligencia estratégica y operativa, basada en la tecnología y la innovación. Dirigido a prevenir y detectar las actividades asociadas con el lavado de dinero, sus delitos precedentes y la financiación del terrorismo, en última instancia, la generación y difusión de información útil para las autoridades para llevar a cabo la confiscación de bienes.

La UIAF se encarga de centralizar, sistematizar y analizar datos relacionados con operaciones de Lavado de Activos, es decir, la Unidad es un filtro de información que se apoya en tecnología para consolidar y agregar valor a los datos recolectados, esto le permite detectar operaciones que pueden estar relacionadas con el delito de Lavado de Activos.

Unidad de Información y Análisis Financiero [en línea, Consultado en noviembre 2014].Disponible en Internet : https://www.uiaf.gov.co/index.php?idcategoria=12042

Fuente: Las Autoras

76

6 GUÍA PARA LA AUDITORÍA DEL ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES BASADOS EN TECNOLOGÍA ANDROID PARA LA

LEGISLACIÓN COLOMBIANA

Una vez realizado el estudio correspondiente al tema e identificado el proceso de análisis forense en dispositivos móviles orientado a la tecnología Android en la legislación Colombiana, bajo los criterios adquiridos en el estudio de la especialización de auditoría de sistemas de información, la experiencia de cada una de las autoras del presente proyecto de grado y el análisis realizado en el desarrollo del presente proyecto, se realiza una guía que contiene las pautas básicas para orientar el proceso auditor del análisis forense en dispositivos móviles de tecnología Android para la legislación Colombiana, elaborada ésta con el propósito de obtener los resultados esperados, con la calidad y el tiempo requeridos (ver anexo A). La guía está compuesta por las siguientes partes:

Objetivo: Se define la finalidad de la guía.

Alcance: Se delimita el enfoque de la guía.

Definiciones: Se especifican los términos técnicos utilizados a lo largo de la guía y que deben ser conocidos para la comprensión de la misma.

Desarrollo: Se establecen las actividades a realizar a lo largo de la auditoría, con sus respectivos papeles de trabajo:

i. Establecer el programa de auditoría: se identifican los objetivos, el alcance, riesgos, cronograma y presupuesto para la auditoría.

ii. Establecer el contacto inicial con el auditado: Puede ser formal o informal y debería hacerlo el líder del equipo auditor por medio de memorando informando la auditoría, presentación del equipo audito y el acta de apertura de la auditoría.

iii. Preparación de las actividades de la auditoría: levantamiento de información inicial y programación de las pruebas de auditoría: Diseño de las actividades a realizar en la auditoría.

iv. Realización de las actividades de auditoría: Se ejecutan las pruebas diseñadas anteriormente.

v. Organización de los papeles de trabajo: Organizar y unificar los papeles de trabajo que resultaron de la auditoría.

vi. Analizar la información: Identificar los hallazgos producto de la auditoría realizada

vii. Elaboración del informe de hallazgos y recomendaciones: Informe detallado de la auditoría.

viii. Elaboración del informe ejecutivo: Informe al Director donde se evidencie de forma resumida y concreta el resultado de la auditoría.

77

7. VALIDACIÓN DE LA GUIA DE AUDITORÍA

7.1. NORMA ISO - INTERNACIONAL 19011

Esta Norma Internacional proporciona directrices sobre la auditoría a sistemas de gestión, incluyendo los principios de auditoría, el manejo de un programa de auditoría y la realización de las auditorías a sistemas de gestión, así como directrices sobre la evaluación de competencia de los individuos involucrados en el proceso de auditoría, incluyendo el personal que maneja el programa de auditoría, los auditores y los equipos de auditoría. Se realiza la validación de la gestión del programa de auditoría que contiene la Norma ISO Contra la guía de auditoría realizada en este proyecto. Según la norma ISO se debe establecer un programa de auditoría que encamine a la efectiva realización de la auditoría. Tabla 8 Validación de la guía

NORMA ISO - INTERNACIONAL 19011

VALIDACIÓN GUIA DE AUDITORÍA

Según la norma ISO se debe establecer un programa de auditoría que encamine a la efectiva realización de la auditoría. Dicho programa debe contener unos objetivos, el alcance, información y recursos necesarios para organizar y conducir las auditorías de manera eficiente dentro de los tiempos especificados.

Se diseña el papel de trabajo

a. Objetivos del programa de auditoría.

b. Establecer el alcance del programa de auditoría.

c. Identificar y evaluar los riesgos del programa de auditoría.

PT2 Cronograma y recursos de la auditoría

d. Establecer actividades para el programa de auditoría (cronograma). e. Identificar los recursos para el programa de auditoría (presupuesto).

Dentro de las actividades de Inicio de la auditoría de la norma ISO está el contacto inicial con el auditado para el desarrollo de la auditoría puede ser formal o informal y debería hacerlo el líder del equipo auditor.

Se diseña el papel de trabajo

a. Envío de memorando informando la auditoría

b. Presentación del equipo auditor.

PT4 Acta apertura de la auditoría

Fuente: Las autoras.

78

Tabla 8 Validación de la guía (continuación)

NORMA ISO - INTERNACIONAL 19011 VALIDACION GUIA DE AUDITORÍA

Preparación de actividades de auditoría Revisión de documentos en preparación para la auditoría. La documentación relevante del sistema de gestión del auditado debería ser revisada con el fin de:

reunir información para preparar actividades de auditoria y documentos de trabajo aplicables (ver 6.3.4), ej. Sobre los procesos, funciones

establecer una visión general del grado de documentación del sistema de gestión para detectar posibles vacíos.

Se diseña el papel de trabajo: PT5 Lista de chequeo documentación inicial a. Solicitar al analista forense la documentación base para dar inicio a la auditoría. b. Agendar entrevista con los responsables del análisis. PT6 Programación de las pruebas de auditoría Generar las actividades con su respectiva fecha de ejecución y auditor responsable.

Las actividades de auditoría normalmente son llevadas a cabo en una secuencia definida. Esta secuencia puede ser modificada para ajustarse a las circunstancias de auditorías específicas.

Se diseña el papel de trabajo: PT7 Entrevista que contiene: a. Organización de la documentación obtenida y análisis de esta. b. Entrevistar a los responsables del análisis. PT8 Diseño de Pruebas de auditoría PT9 Planilla de puntos mejorables Generación de hallazgos de auditoría.

El líder del equipo auditor debería reportar los resultados de acuerdo con los procedimientos del programa de auditoría.

Carpeta de auditoría y organización de los papeles de trabajo: Integración de los papeles de trabajo resultados de la auditoría.

Fuente: Las autoras.

79

Tabla 8 Validación de la guía (continuación)

NORMA ISO - INTERNACIONAL 19011 VALIDACION GUIA DE AUDITORÍA

Generación de hallazgos de auditoría La evidencia de auditoría debería ser evaluada contra los criterios de la auditoría a fin de determinar los hallazgos de la auditoría. Los hallazgos de auditoría pueden indicar conformidad o no conformidad con los criterios de la auditoría.

Se realiza el papel de trabajo: PT10. INFORME DE AUDITORÍA donde se coloca la elaboración del informe de hallazgos y recomendaciones

Preparación de conclusiones de auditoría El equipo auditor debería reunirse antes de la reunión de cierre con el fin de:

a) revisar los hallazgos de la auditoría y cualquier otra información apropiada recopilada durante la auditoría frente a los objetivos de la misma; b) llegar a un acuerdo respecto a las conclusiones, teniendo en cuenta la incertidumbre inherente en el proceso de auditoría; c) preparar recomendaciones, si esto está especificado en el plan de auditoría; d) discutir el seguimiento a la auditoría, según sea aplicable

Elaboración del informe ejecutivo PT10. INFORME DE AUDITORÍA

Fuente: Las autoras.

80

8. CONCLUSIONES

Durante el desarrollo de este proyecto, se revisaron varias guías protocolos y procedimientos, que combinan diferentes técnicas empleadas en el análisis forense; las cuales ofrecen al investigador las herramientas necesarias para sustentar sus evidencias en el momento de demostrar un hecho ocurrido en un sistema tecnológico, ya que estos dejan un registro del suceso y puede ser obtenido por el especialista así haya sido borrado por el atacante. Igualmente se identificaron entidades colombianas, tanto públicas como privadas que requieren del análisis forense, evidenciando su manejo como apoyo en el desarrollo de sus actividades, contando con laboratorios de cómputo forense, con la tecnología y el personal capacitado para hallar evidencias digitales en procesos judiciales donde esté vinculado un dispositivo digital. De acuerdo con la profundización que se realiza en el tema, se diseña una guía para la auditoría del análisis forense en dispositivos móviles basados en tecnología Android para la legislación Colombiana, donde se establece un programa de auditoría que incluye la información y recursos necesarios para organizar y conducir la auditoría de manera eficaz y eficiente. A futuro se pueden diseñar guías de auditoría para el análisis forense de dispositivos móviles a nivel internacional y bajo las leyes y estándares que rijan bajo este concepto. Se presenta dificultad para lograr levantar información de entidades Colombianas que practiquen el análisis forense ya que es restringida y por lo tanto no se puede acceder a casos reales de análisis forense por el nivel de confidencialidad con la reserva del sumariio de la misma.

81

BIBLIOGRAFIA

ANGULO LÓPEZ, Eleazar. Metodología Cualitativa. Universidad de Málaga. [En Linea]. Bogotá: [citado octubre 20 de 2014]. Disponible en internet: <URL: http://www.eumed.net/tesis-doctorales/2012/eal/metodologia_cualitativa.html#_ftn1> ARROYO NATALIA. Información en el Móvil. 1 ed. Editorial UOC, 2011. ISBN: 978-84-9029-847-3

BERNAL TORRES, Cesar Augusto. Metodología de la investigación. México: Pearson Educación, 2006. p 110. ISBN 970-26-0645-4

BRIAN BARRETT. Sprint's HTC Evo, the First Ever 4G Phone: Meet the New Terrific. 23/03/2010. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: www.gizmodo.com/5500343/print-htc-the-firts-ever-4g-phone-meet-the-new-terrific >

CONGRESO DE LA REPUBLICA DE COLOMBIA. Ley 906 DE 2004. (1,

septiembre, 2004). Por la cual se expide el Código de Procedimiento Penal. Bogotá:

El Congreso, 2004. Capitulo V.

COOPER, Martín. Biografía del Creador del primer teléfono móvil. [En Línea]. Bogotá: [citado septiembre 20 de 2014]. Disponible en internet: <URL: www.ingeniatic.eultt.upm.es/index.php/personajes/ítem/321-cooper-martin>

CULTURACIÓN. Blackberry OS; sistema operativo móvil de RIM. . [En Linea].

Bogotá: [citado septiembre 20 de 2014]. Disponible en internet:

<URL:http://culturacion.com/2012/05/blackberry-sistema-operativo-movil-de-rim/>

CHAVARRIA, Jorge. Auditoría Forense. 1 ed. San José: Universidad Estatal a Distancia, 2002. p 3 y 4. ISBN: 9977-64-801-8 DE LA PEÑA GUTIERREZ, Alberto. Auditoría, un enfoque práctico. 1 ed. Madrid: Paraninfo, 2011. p 5. ISBN: 978-84-9732-667-4

FISCALÍA GENERAL DE LA NACIÓN. Resolución 6394 de 2004. (22, diciembre,

2004). Por medio de la cual se adopta el manual de procedimientos del Sistema de

Cadena de Custodia para el Sistema Penal Acusatorio. Bogotá: El Fiscal General

De La Nación, 2004. Artículo 254.

82

FRANKLIN. Yaqueline. Tesis de Investigación. Tomado de Dankhe. Diferentes

diseños. Tipos de investigación. Colombia: McGraw-Hill. (1986). [En Linea]. Bogotá:

[citado octubre 20 de 2014]. Disponible en internet: <URL:

http://tesisdeinvestig.blogspot.com/2011/05/tipos-de-

investigacion.html?showComment=1371610247620#c4929994189697217530>

GINVA INSPIRATION, DESING, FREEBIES. The Evolution Of The Cell Phone Between 1938-2011. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: http://ginva.com/2011/05/the-evolution-of-the-cell-phone-between-1938-2011/>

GIRONES. Jesús Tomás. El Gran Libro de Android. 3ra. Edición 2013. Editorial Marcambo S.A. IBSN 978.84.267.1976-8.

GONZALEZ, Angel. Sistema Operativo Android. [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: http://www.vinagreasesino.com/articulos/sistema-operativo-android.php>

GONZALEZ, David. Código de prácticas para digital forrensics. [En Línea]. http://cp4df.sourceforge.net/. [Consultado 20 de octubre de 2014]. GOOGLE. Google Launches Android, an Open Mobile Platform. . [En Linea]. Bogotá: [citado septiembre 26 de 2014]. Disponible en internet: <URL: http://googlesystem.blogspot.com/2007/11/google-launches-android-open-mobile.html> NUMPAQUE FRANCO, Edgar Alexander. Informática Forense En Colombia. [En Línea]. Bogotá: [citado octubre 20 de 2014]. Disponible en internet: <URL: <http://glaxeanf.com/lecturas-de-interes/seguridad-informatica> ROBLEDO SACRISTAN, Clodoaldo y ROBLEDO FERNANDEZ, David. Programación en Android. ISBN 978.84-369-5431-1 REVISTA TÉCNOPASIÓN. Los Móviles más vendidos de la historia. [En Linea]. Bogotá: [citado septiembre 30 de 2014]. Disponible en internet: <URL:www.tecnopasion.com/los-moviles-mas-vendidos-de -la-historia-2736/ .>

TAMAYO ALZATE, Alfonso. Auditoría de sistemas una visión práctica. 1 ed. Manizales: Universidad Nacional de Colombia, 2001. p 9 - 13. ISBN: 958-9322-66-2

83

U.S. DEPARTMENT OF JUSTICE OFFICE OF JUSTICE PROGRAMS.

ELECTRONIC CRIME SCENE INVESTIGATION: A Guide for First Responders,

Washington DC: U.S. National Institute of Justice, 2001.

84

ANEXO A. GUIA DE AUDITORÍA DEL ANALISIS FORENSE EN DISPOSITIVOS MOVILES

BASADOS EN TECNOLOGIA ANDROID PARA LA LEGISLACIÓN COLOMBIANA

1. OBJETIVO Estandarizar el procedimiento de auditoría que se realiza en el análisis forense realizado a los dispositivos móviles de tecnología Android bajo la normatividad y legislación colombiana. 2. ALCANCE Aplica a los auditores que en un determinado momento deban poner en práctica sus conocimientos frente al análisis forense. 3. DEFINICIONES

ALMACENAMIENTO: Es la acción de guardar las evidencias o elementos materia de prueba bajo las condiciones adecuadas para su preservación, protección, vigilancia y restricción de acuerdo a las áreas donde ellas se procesan, analizan y estudian.

CADENA DE CUSTODIA: Se puede extractar de la normatividad colombiana, que cadena de custodia es el procedimiento destinado a garantizar la individualización, seguridad y preservación de los elementos materia de prueba y evidencias, recolectados de acuerdo a su naturaleza o incorporados en toda investigación de un hecho punible, destinados a garantizar su autenticidad, para los efectos del proceso.58

Otro concepto acorde, es que “la cadena de custodia es un procedimiento establecido por la normatividad jurídica, que tiene el propósito de garantizar la integridad, conservación, inalterabilidad de elementos materiales de prueba como documentos, muestras (orgánicas e inorgánicas), armas de fuego, proyectiles, vainillas, armas blancas, estupefacientes y sus derivados, etc.; entregados a los laboratorios criminalísticas o forenses por la autoridad competente a fin de analizar y obtener, por parte de los expertos, técnicos y científicos, un concepto pericial”59 No obstante en Colombia, la Fiscalía General de la Nación es el ente investigador creado con la Constitución Política de Colombia en su artículo 250,

58 CONGRESO DE LA REPUBLICA DE COLOMBIA. Ley 600 DE 2000. (24, julio, 2000). Por la cual se expide el Código de Procedimiento Penal. Bogotá: El Congreso, 2000. Articulo VII. 59 ANGULO ARANA, Pedro. 2006. La investigación del delito en el Nuevo Proceso Penal. Lima, Gaceta Jurídica S.A. 175p., Temis. 137p

85

quien a través ha reglamentado la cadena de custodia, a través de un manual en donde precisa el conjunto de técnicas que rodea la cadena de custodia.60

Precisa la normatividad colombiana en el artículo 288 de la Ley 600 de 2000, que la:

“Cadena de Custodia. Se debe aplicar la cadena de custodia a los elementos físicos materia de prueba, para garantizar la autenticidad de los mismos, acreditando su identidad y estado original, las condiciones y las personas que intervienen en la recolección, envío, manejo, análisis y conservación de estos elementos, así mismo, los cambios hechos en ellos por cada custodio. La Cadena de Custodia debe asegurar las características originales de los elementos materia de prueba durante la protección de la escena, recolección, transporte, análisis, almacenamiento, conservación, preservación, recuperación y disponibilidad de éstos, identificando al responsable en cada una de sus etapas y que los elementos correspondan al caso investigado.”61

La Fiscalía General de la Nación, expresa que el Sistema de Cadena de Custodia está fundamentado en el principio universal de la autenticidad de los elementos físicos materia de prueba, que le permiten garantizar y demostrar que se han aplicado los procedimientos para asegurar las condiciones de identidad, integridad, preservación, seguridad, continuidad y registro de los mismos, desde que inicia hasta que terminan la cadena.62

CUSTODIO: Persona encargada de desplegar todas aquellas actividades encaminadas a mantener libre y exento de todo riesgo o peligro los elementos físicos materia de prueba confiados a su cuidado.

EMBALAJE: El elemento materia de prueba debera ser embalado de acuerdo a los procedimientos técnicos establecidos por su clasificación, obteniendo su registro fotografico antes y despues del embalaje.

EVIDENCIA DIGITAL: Cano Jeimy Jose, define la Evidencia Digital como un "tipo de evidencia física construida por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales..” para hacer más comprensible este tipo de conceptos, el Departamento de Justicia de Estados Unidos ha desarrollado una Guía muy completa denominada “Forensic Examination on Digital Evidence: A Guide for

60 FISCALÍA GENERAL DE LA NACIÓN. Resolución 6394 de 2004. (22, diciembre, 2004). por medio de la cual se adopta el manual de procedimientos del Sistema de Cadena de Custodia para el Sistema Penal Acusatorio. Bogotá: El Fiscal General De La Nación, 2004. Artículo 254. 61 Congreso De La Republica De Colombia. Ley 600 DE 2000. (24, julio, 2000). Por la cual se expide el Código de Procedimiento Penal. Bogotá: El Congreso, 2000. Artículo 288. 62 Fiscalía General de la Nación. Resolución 1890 del 05 de noviembre de 2002.

86

Law Enforcement”, en la cual indica el manejo de la evidencia digital, bajo qué procedimientos y técnicas, etc., donde se resaltan, entre muchas otras cosas, tres principios esenciales en el manejo de la evidencia digital: Las acciones tomadas para recoger la evidencia digital no deben afectar nunca la integridad de la misma. Las personas encargadas de manejar y recoger evidencia digital deben ser entrenadas para tal fin. Las actividades dirigidas a examinar, conservar o transferir evidencia digital deben ser documentadas y reservadas para una futura revisión.

FACTORES DE RIESGO: Situaciones cuyo eventual ocurrencia afectaría negativamente la adecuada utilización del recurso público y el cumplimiento de los fines constitucionales y legales del Estado por parte de los entes objeto de control fiscal, reflejadas en la legalidad, la eficiencia, la economía, la eficacia, la equidad, la imparcialidad, la moralidad, la transparencia, la publicidad y/o los costos ambientales con que los mismos ejecutan su gestión fiscal.

INFORMATICA FORENSE: La Informática Forense es una disciplina criminalística que tiene como objeto la investigación en sistemas informáticos de hechos con relevancia jurídica o para la simple investigación privada, desarrolla técnicas idóneas para ubicar, reproducir y analizar evidencias digitales con fines legales.

Así mismo, nace como una rama de las ciencias forenses, una disciplina auxiliar a la justicia, que consiste en la aplicación de técnicas que permiten adquirir, validar, analizar y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Las tareas de informática forense pueden llevarse a cabo tanto en procesos judiciales, como en cuestiones extra judiciales, sin embargo, la importancia de contar con un proceso unificado que auxilie en estas tareas está relacionada con la existencia de un aval científico que le permita a un oficial de justicia confiar en las tareas desarrolladas dentro de un proceso judicial. Para el Dr. Julio Téllez Valdés, el delito informático lo define como “una conducta típica, antijurídica y culpable en que se tiene a las computadoras como instrumento o fin”, es decir, como instrumento para cometer cualquiera de los delitos ya tipificados, o como un fin en sí mismo. Por ejemplo, en una estafa a través de sistemas informáticos, la informática es el medio; en cambio, en el caso de la distribución de virus informáticos, la informática es el fin.

IDENTIDAD DE LA PRUEBA: Manifiesta el ente investigador, que se trata de la individualización de los elementos probatorios, mediante la descripción completa y detallada de sus características específicas y condiciones físicas, tales como estado físico, apariencia, presentación, peso y/o volumen bruto y neto,

87

localización exacta, numeración dada según el contexto de la escena y todos aquellos datos que puedan coadyuvar a identificar el elemento físico de prueba.

PRIMER CUSTODIO o PRIMER RESPONDIENTE: Es denominado como primer custodio, el servidor público o particular, que primero entre en contacto directo con los elementos físicos materia de prueba, de tratarse de un funcionario de policía judicial o policía, tendrá la responsabilidad de diligenciar un acta que contenga la hora, fecha en que se hace presente, una breve descripción de los elementos y la identidad plena de quien lo suscribe.

En el evento que sea un particular, este se limitara a hacer entrega al servidor público del elemento físico materia de prueba y será responsabilidad de éste último levantar el acta correspondiente dejando constancia de la identidad del particular que hizo entrega de la prueba.63

PRESERVACIÓN DE LA PRUEBA: Es el proceso al que se somete el elemento físico materia de prueba en las condiciones adecuadas que aseguren su conservación o inalterabilidad de acuerdo a su clase y naturaleza.

63 FISCALÍA GENERAL DE LA NACIÓN. Resolución 2869 de 2002. (05, noviembre, 2002). Por medio de la cual se adopta el manual de procedimientos del sistema de cadena de custodia. Bogotá: El Fiscal General De La Nación, 2002.

88

4. DESARROLLO

A continuación se identifica el flujo de las actividades a realizar en el desarrollo de la auditoría del análisis forense en dispositivos móviles Android, donde se establecen los responsables de cada actividad. Imagen1 Desarrollo de la auditoría

DESARROLLO DE LA AUDITORIA

GRUPO AUDITORAUDITOR LIDER

ACTIV

IDAD

ES

INICIO

Establecer el programa de

auditoría

Establecer contacto inicial con el

auditado

Preparación de las actividades de la

auditoria

Programación de las pruebas de auditoria

Realización de las actividades de

auditoria

Organización de los papeles de trabajo

Analizar la información

Elaboración del informe de hallazgos y

recomendaciones

Elaboración del informe ejecutivo

FIN

Fuente: Las autoras.

89

Tabla1 Actividades Auditoría al análisis forense en dispositivos móviles

No. ACTIVIDAD RESPONSABLE REGISTRO

1

1. Establecer el programa de auditoría:

a. Objetivos del programa de auditoría.

b. Establecer el alcance del programa de

auditoría.

c. Identificar y evaluar los riesgos del

programa de auditoría.

d. Establecer actividades para el programa

de auditoría (cronograma).

e. Identificar los recursos para el programa

de auditoría (presupuesto).

Auditor Líder

PT1 Plan de auditoría (Anexo B) PT2 Cronograma y recursos de la auditoría (Anexo C)

2

1. Establecer contacto inicial con el auditado:

a. Envió de memorando informando la

auditoría

b. Presentación del equipo auditor.

c. Generar el acta de apertura de la

auditoría.

Auditor líder Grupo auditor

PT3 Memorando de auditoría (Anexo D) PT4 Acta apertura de la auditoría (Anexo E)

3

1. Preparación de las actividades de la auditoría:

a. Solicitar al analista forense la

documentación base para dar inicio a la

auditoría.

b. Agendar entrevista con los responsables

del análisis.

2. Programación de las pruebas de auditoría:

Generar las actividades con su respectiva fecha

de ejecución y auditor responsable.

Grupo auditor

PT5 Lista de chequeo documentación inicial (Anexo F) PT6 Programación de las pruebas de auditoría (Anexo G)

4

1. Realización de las actividades de auditoría:

a. Organización de la documentación

obtenida y análisis de esta.

b. Entrevistar a los responsables del

análisis.

c. Ejecutar las pruebas de auditoría.

d. Generación de hallazgos de auditoría.

Grupo auditor

PT7 Entrevista (Anexo H) PT8 Diseño de Pruebas de auditoría (Anexo I) PT9 Planilla de puntos mejorables (Anexo J)

5

1. Organización de los papeles de trabajo:

Integración de los papeles de trabajo resultados

de la auditoría. Grupo auditor

Carpeta de auditoría

6 1. Analizar la información.

Grupo auditor N/A

7

1. Elaboración del informe de hallazgos y

recomendaciones Grupo auditor

PT10. INFORME DE AUDITORÍA (Anexo K)

8

1. Elaboración del informe ejecutivo Grupo auditor Auditor líder

PT10. INFORME DE AUDITORÍA (Anexo K)

Fuente: Las autoras.

90

ANEXO B. PAPEL DE TRABAJO 1. PLAN DE AUDITORÍA

91

ANEXO C. PAPEL DE TRABAJO 2. CRONOGRAMA Y RECURSOS DE LA AUDITORÍA

92

93

ANEXO D. PAPEL DE TRABAJO 3. MEMORANDO COMUNICADO DE AUDITORÍA

94

ANEXO E. PAPEL DE TRABAJO 4. ACTA APERTURA AUDITORÍA

95

ANEXO F. PAPEL DE TRABAJO 5. LISTA DE CHEQUEO DOCUMENTACION INICIAL

96

ANEXO G. PAPEL DE TRABAJO 6. PROGRAMACION PRUEBAS AUDITORÍA

97

ANEXO H. PAPEL DE TRABAJO 7. ENTREVISTA

98

ANEXO I. PAPEL DE TRABAJO 8. DISEÑO PRUEBAS AUDITORÍA

99

ANEXO J. PAPEL DE TRABAJO 9. PLANILLA DE PUNTOS MEJORABLES

100

ANEXO K. PAPEL DE TRABAJO 10. INFORME DE AUDITORÍA