universidad regional autÓnoma de los andes...
TRANSCRIPT
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
CARRERA DE SISTEMAS
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DE TITULO
DE INGENIERO EN SISTEMAS E INFORMÁTICA.
TEMA:
METODOLOGÍA DE USO DE HERRAMIENTAS FORENSES EN LA
SECCIÓN DE INFORMÁTICA FORENSE DEL DEPARTAMENTO DE
CRIMINALÍSTICA DE PICHINCHA DE LA POLICÍA NACIONAL DEL
ECUADOR.
AUTOR: JAQUE TARCO MILTON EFRAÍN
ASESOR: ING. LLERENA OCAÑA LUIS ANTONIO
AMBATO – ECUADOR
2017
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quién suscribe, legalmente CERTIFICA QUE: El presente Trabajo de Titulación
realizado por el señor MILTON EFRAIN JAQUE TARCO, estudiante de la Carrera de
Sistemas, Facultad de Sistemas Mercantiles, con el tema “METODOLOGÍA DE USO
DE HERRAMIENTAS FORENSES EN LA SECCIÓN DE INFORMÁTICA
FORENSE DEL DEPARTAMENTO DE CRIMINALÍSTICA DE PICHINCHA DE
LA POLICÍA NACIONAL DEL ECUADOR”, ha sido prolijamente revisado, y cumple
con todos los requisitos establecidos en la normativa pertinente de la Universidad
Regional Autónoma de los Andes –UNIANDES-, por lo que apruebo su presentación.
Ambato, Septiembre de 2017
ING. LUIS ANTONIO LLERENA OCAÑA.
ASESOR
DECLARACIÓN DE AUTENTICIDAD
Yo, Milton Efraín Jaque Tarco, estudiante de la Carrera de Sistemas, Facultad de
Sistemas Mercantiles, con el tema: “METODOLOGÍA DE USO DE
HERRAMIENTAS FORENSES EN LA SECCIÓN DE INFORMÁTICA
FORENSE DEL DEPARTAMENTO DE CRIMINALÍSTICA DE PICHINCHA
DE LA POLICÍA NACIONAL DEL ECUADOR”, declaro que todos los resultados
obtenidos en el presente trabajo de investigación, previo a la obtención del título de
INGINIERO EN SISTEMAS E INFORMATICA, son absolutamente originales,
auténticos y personales; a excepción de las citas, por lo que son de mi exclusiva
responsabilidad.
Ambato, Septiembre de 2017
Milton Efrain Jaque Tarco
CI. 050233981-5
AUTOR
DERECHOS DE AUTOR
Yo, Milton Efrain Jaque Tarco, declaro que conozco y acepto la disposición constante
en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de Los
Andes, que en su parte pertinente textualmente dice: El Patrimonio de la UNIANDES,
está constituido por: La propiedad intelectual sobre las Investigaciones, trabajos
científicos o técnicos, proyectos profesionales y consultaría que se realicen en la
Universidad o por cuenta de ella;
Ambato, Septiembre de 2017
Milton Efrain Jaque Tarco
CI. 050233981-5
AUTOR
DEDICATORIA
Con amor este trabajo va dedicado a mis padres en especial a mi madre quien ha sido
el factor motivante para ser posible esto y culminar esta carrera profesional.
A la Policía Nacional, especialmente a Criminalística, sección informática forense
quien ha permitido realizar y elevar los conocimientos técnicos científicos al ser
participe como miembro activo de esta institución.
AGRADECIMIENTO
En primer lugar mi agradecimiento infinito a Dios Padre, por la bendición recibida
hasta el día de hoy, por ser el guía y motor incondicional en el trayecto de este camino
trazado, por permitir gozar de salud y culminar este capítulo profesional.
A la Universidad Regional Autónoma de los Andes Uniandes, quien me abrió sus
puertas permitiendo forjarme y crecer como ser humano.
A mis padres quienes a lo largo mi vida han sido el apoyo y la motivación constante,
quienes han creído en mi formación académica.
A mi director de tesis Ingeniero Luis Llerena, por su tiempo, atención y sugerencias
dadas durante el desarrollo de esta tesis.
Finalmente me gustaría que estas palabras sirvieran para expresar mi más profundo y
sincero agradecimiento como, amigos, compañeros de trabajo, jefes, a la Institución
tan prestigiosa como es la Policía Nacional, Criminalística sección informática
Forense, a todas aquellas personas directas e indirectas fueron parte de esta
investigación que con su ayuda han colaborado en la realización del presente trabajo.
ÍNDICE GENERAL
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTOR
DEDICATORIA
AGRADECIMIENTO
ÍNDICE GENERAL
ÍNDICE DE FIGURAS
ÍNDICE DE TABLAS
RESUMEN
ABSTRACT
INTRODUCCIÓN. .............................................................................................................. 15
Planteamiento del problema. .................................................................................................. 3
Formulación del problema. .................................................................................................... 4
Delimitación del problema. .................................................................................................... 4
Identificación de la línea de Investigación. ........................................................................... 4
Objetivo General. ................................................................................................................... 4
Objetivos Específicos. ........................................................................................................... 5
Idea a defender. ...................................................................................................................... 5
Metodologías de la investigación. ......................................................................................... 5
Entre los tipos de investigación que se utilizaran tenemos: ................................................... 5
Resumen de la estructura de la tesis (Esquema de contenidos). ............................................ 7
Capítulo 1.- Marco Teórico. .................................................................................................. 7
Capítulo 2. Marco Metodológico. .......................................................................................... 7
Capítulo 3. Propuesta. ............................................................................................................ 8
CAPITULO I ....................................................................................................................... 10
1.1. Origen y evolución del objeto de investigación .................................................... 10
1
1.2. Herramientas De Informática Forense. ................................................................. 12
1.2.1. Hardware Forense. ................................................................................................. 12
1.2.2. Herramienta Forencis Falcon-generador de imágenes. ......................................... 13
1.2.3. Análisis de Datos- Servidor forense “FRED”. ...................................................... 13
1.2.4. Centro de datos - Data Center. ............................................................................... 14
1.2.5. Centro de procesamiento de Datos - Servidor Forense Móvil “FRED L” Equipo
Portátil, “FRED L”. ............................................................................................... 15
1.2.6. Maletín Adaptadores, Bloqueadores – “UltraKit” con dispositivos forense. ........ 16
1.3. HERRAMIENTAS EN SOFTWARE INFORMATICO FORENSE. .................. 16
1.3.1. Herramienta Crear Archivos De Imagen, Visualización Previa De Datos - FTK
IMAGER. .............................................................................................................. 16
1.3.2. Software Análisis De Datos - Acces Data Forensic Toolkit “FTK”. .................... 17
1.3.3. Software De Análisis De Datos - Autopsy Forensic Browser – Linux ................. 19
1.3.4. Software De Análisis De Datos - Autopsy Forensic Browser (Windows) ............ 20
1.3.5. Respuesta Incidentes Informáticos - LIVE CD (HELIX FORENSIC) ................. 21
1.3.6. Herramienta De Recolección De Datos - Live CD (F.I.R.E. Linux.) .................... 23
1.3.7. Recolección, Análisis De Información - CAINE 7 ............................................. 23
1.4. ANÁLISIS DE LAS DISTINTAS POSICIONES TEÓRICAS SOBRE EL
OBJETO DE INVESTIGACIÓN. ......................................................................... 25
1.4.1. Informática forense. ............................................................................................... 25
1.4.2. Objetivo de la Informática Forense. ...................................................................... 26
1.4.3. Uso de la informática forense. ............................................................................... 26
1.4.4. En qué consiste la Informática Forense. ................................................................ 26
1.4.5. Importancia: ........................................................................................................... 26
1.4.6. Usos: .................................................................................................................... 27
1.4.7. Cómo y dónde buscar elementos informáticos digitales o electrónicos. .............. 28
1.4.8. Podemos obtener evidencia como: ........................................................................ 28
1.4.9. Naturaleza Legal. ................................................................................................... 28
1.4.10. Código penal. ......................................................................................................... 28
1.4.9.2 Delitos contra la seguridad de los activos de los sistemas de información y
comunicación. ........................................................................................................ 30
1.4.9.3 Sistema especializado integral de investigación de medicina legal y ciencias
forenses……………….. ........................................................................................ 31
1.4.9.4 Cadena de custodia. ............................................................................................... 31
1.4.9.5 Criterios de valoración. .......................................................................................... 32
1.4.9.6 MEDIOS DE PRUEBA: REGLAS GENERALES. .............................................. 32
1.4.9.7 Medio De Prueba Contenido Digital. .................................................................... 32
1.5. Valoración Crítica De Los Conceptos Principales De Las Distintas Posiciones
Teóricas Sobre El Objeto De Investigación. ......................................................... 33
1.6. ANÁLISIS CRÍTICO SOBRE EL OBJETO DE INVESTIGACIÓN ACTUAL
DEL SECTOR RAMA O EMPRESA, CONTEXTO INSTITUCIONAL. ........... 35
1.7. CONCLUSIONES PARCIALES DEL CAPITULO. ........................................... 37
CAPITULO II ...................................................................................................................... 38
Caracterización del sector. ................................................................................................... 38
2.1. MODALIDAD DE LA INVESTIGACIÓN. ......................................................... 48
2.1.1. FASES DE LA INFORMÁTICA. ......................................................................... 48
2.1.2. La identificación de la evidencia digital ................................................................ 49
2.1.3. Adquisición y preservación del equipo informático. ............................................. 50
2.1.4. El análisis de datos. ............................................................................................... 51
2.1.5. Presentación del informe pericial informático. ...................................................... 53
2.2. TIPOS DE INVESTIGACIÓN ............................................................................. 54
2.2.1. Aspectos Técnicos ................................................................................................. 54
2.3.1.1 Fases de un Análisis Forense Digital. .................................................................... 54
2.3.1.2 Identificación del incidente: búsqueda y recopilación de evidencias. ................... 54
2.3.1.3 Descubrir las señales del ataque o el tipo de delito. .............................................. 55
2.3.1.4 Recopilación de evidencias. .................................................................................. 55
2.3.1.5 Preservación de la evidencia. ................................................................................. 56
2.3.1.6 Análisis de la evidencia. ........................................................................................ 57
2.3.1.7 Preparación para el análisis-El entorno de trabajo. ............................................... 57
2.3.1.8 Determinación de cómo se realizó el incidente. .................................................... 58
2.3.1.9 Análisis de la evidencia, identificación del autor o autores del incidente
producidos por ataques a clientes. ......................................................................... 58
2.3.1.10 Documentación del incidente ................................................................................ 59
2.3.1.11 El Informe Técnico. ............................................................................................... 59
2.3. Técnicas De Recolección De Información ............................................................ 60
2.3.1. Encuesta. ................................................................................................................ 60
2.3.2. Entrevista. .............................................................................................................. 61
2.3.3. Población y Muestra. ............................................................................................. 61
2.3.4. Análisis De Resultados. ......................................................................................... 62
9.1. CONCLUSIONES PARCIALES DEL CAPITULO ............................................ 73
CAPITULO III ..................................................................................................................... 74
3.1 La Propuesta. ......................................................................................................... 74
3.1.1 Tema: ..................................................................................................................... 74
3.1.3 Justificación: .......................................................................................................... 75
3.2 Objetivos. ............................................................................................................... 75
3.2.1 General: ................................................................................................................. 75
3.2.2 Objetivos Específicos: ........................................................................................... 75
3.3 Desarrollo de la Metodología. ............................................................................... 76
3.4 Alcance y limitaciones de la Metodología Propuesta. ........................................... 78
3.4.1 Alcance. ................................................................................................................. 78
3.4.2 Limitaciones. ......................................................................................................... 79
3.5 Características de la Metodología Propuesta. ........................................................ 79
3.6 Fases de la Metodología Propuesta. ...................................................................... 80
3.6.1 FASE I: Identificación. .......................................................................................... 81
3.6.2 FASE II: Verificación. ........................................................................................... 82
3.6.3 FASE III: Recolección de Evidencia, herramientas. ............................................. 84
3.6.4 FASE IV: Análisis de Evidencia. .......................................................................... 86
3.6.5 FASE V: Recuperación de datos. .......................................................................... 87
3.6.6 FASE VI: Preparación del informe. ...................................................................... 87
3.7 Conclusiones. ......................................................................................................... 89
3.8 Recomendaciones. ................................................................................................. 90
BIBLIOGRAFIA Y REFERENCIAS
ANEXO: CUESTIONARIO
ÍNDICE DE FIGURAS
Figura 1. Tableau Forensic. ................................................................................................. 13
Figura 2. Falcon Forencis. ................................................................................................... 13
Figura 3.. El servidor Forense FRED. ................................................................................. 14
Figura 4. Data Center, Fuente .............................................................................................. 15
Figura 5. Equipo FERD L. ................................................................................................... 15
Figura 6. Maletín Ultra Kit bloqueadores de escritura. ....................................................... 16
Figura 7 Software de Análisis Forense FTK Imager ........................................................... 17
Figura 8. Portada del Software de Análisis Digital Acces Data FTK .................................. 18
Figura 9. Entorno del Software de Análisis Digital Acces Data FTK ................................. 19
Figura 10. Software de Análisis Autopsy ............................................................................ 20
Figura 11. Software de Análisis forense digital Autopsy .................................................... 21
Figura 12. Live CD Helix diseñado para Análisis de información ...................................... 22
Figura 13. Entorno Grafico del Live CD ............................................................................. 22
Figura 14. Live CD de arranque apara analisis forenses ..................................................... 23
Figura 15. Live Cd CAINE .................................................................................................. 25
Figura 16. Fases de la Investigación Digital. ....................................................................... 48
Figura 17. Elementos para la Identificación de la Evidencia. ............................................. 50
Figura 18 Elementos para la Preservación de la Evidencia Digital. .................................... 51
Figura 19 Elementos para Análisis de la Evidencia Digital. ............................................... 53
Figura 20 Elementos para el Informe Pericial ..................................................................... 53
Figura 21Conoce usted alguna metodología de IF .............................................................. 63
Figura 22 Procedimiento adecuado sobre el manejo de las herramientas de informática
forense ................................................................................................................. 64
Figura 23 Posee conocimientos básicos con herramientas forenses
existentes en este laboratorio ............................................................................... 65
Figura 24 Conocimiento del Protocolo de Informática Forenses ........................................ 66
Figura 25 Escena de elementos digitales con conocimiento. ............................................... 67
Figura 26 La preparación técnica para resolver incidentes .................................................. 68
Figura 27 Capacitación de forma anual al recurso humano. ................................................ 69
Figura 28 Emplear herramientas forenses ........................................................................... 70
Figura 29 Metodologías y técnicas de recuperación ............................................................ 71
Figura 30 Creación de una metodología para la recuperación de información ................... 72
Figura 31 Ciclo de vida para la Administración de la evidencia ......................................... 77
ÍNDICE DE TABLAS
Tabla 1 Poblaciones que se tomaron en cuenta para el estudio de la
Metodología. ............................................................................................................ 62
Tabla 2 Conoce usted alguna metodología de Informática Forense .................................... 63
Tabla 3 Procedimiento adecuado sobre el manejo de las herramientas de informática
forense ...................................................................................................................... 64
Tabla 4 Posee conocimientos básicos en recuperación de información .............................. 65
Tabla 5 Tiene el conocimiento que significa Identificar, Preservar, Analizar y Presentar
.................................................................................................................... 66
Tabla 6 Se encuentra totalmente preparado para la respectiva recolección......................... 67
Tabla 7 Se encuentra totalmente capacitado para resolver incidentes
informáticos. ............................................................................................................ 68
Tabla 8 Capacitar anualmente al personal de Informática Forense. .................................... 69
Tabla 9 Tipos herramientas forenses se puede emplear para recuperar información.
.................................................................................................................... 70
Tabla 10 Basado en metodologías y técnicas de recuperación de información se puede
llegar a obtener mayor rédito. .................................................................................. 71
Tabla 11 Creación de una Metodología para la recuperación de la Información en
computadores con herramientas forenses. ............................................................... 72
Tabla 12 Fases de la metodología de análisis forense Propuesta
………………………81
RESUMEN.
En gran parte la tecnología ha facilitado el mal hábito de provocar daños o incidentes
informáticos irreparables por medios o dispositivos tecnológicos como instrumento
materia del delito por lo que se ha visto la necesidad de contar con el recurso humano
altamente capacitado dentro de la rama de informática forense y leyes que regulan la
evidencia digital para judicializar el mal uso de las TICs, cual permita combatir esta
clase de transgresiones.
La informática Forense es una de las herramientas de la ciencia criminalística que con el
impulso y la utilización de nuevas tecnologías forenses, ha adquirido una gran
importancia debido a la globalización de la sociedad de la información. La aplicación de
esta ciencia nos ayudara a resolver y combatir grandes crimines organizados de forma
digital y física, apoyándose con el método científico, a la recolección, validación,
recuperación y análisis de todo tipo de prueba.
Hoy en día la prueba pericial en informática tiene valor legal y resulta ser un medio
probatorio idóneo en un mundo altamente automatizado como en el que vivimos
actualmente.
Por consiguiente el desarrollo de este proyecto se enfoca en una línea de investigación e
incrementar una metodología de uso de las herramientas en la sección de Informática
Forense del Departamento de Criminalística de la Policía Nacional, la misma que
requiere el apoyo de métodos científicos, analísticos, técnicas de investigación
apropiada en el manejo de evidencia digital para llegar a la propuesta que tiene como
finalidad solucionar la problemática y mejorar los procesos técnicos forenses en aras de
coadyuvar con la justicia ecuatoriana.
Esta investigación es de gran beneficio y aporte para la institución Policial Técnica
Científica como es la Criminalística, ya que en gran parte cubrirá las falencias latentes,
así como también esta metodología es y será un arranque a mejoras continuas al estar
disponible al desarrollo y las nuevas tecnologías forenses.
ABSTRACT
echnology has created some computer incidents that have caused damage in some way,
due to the use of technological devices as instrument of crimes. For this reason, the
neccesity for highly skilled human resource in the field of Computer Forensics and laws
that regulate the digital evidence to prosecute the misuse of ICTS to combat these
trangresions have been required.
Computer Forensics is a tool of the Forensic Science that is important due to the
globalization of data through the promotion and utilization of new forensic
technologies. The application of this science will help to solve and combat organized
crime in physical and digital ways. This study is based on the scientific method, data
collection, validation, retrieval and analysis of all kinds of proofs.
Currently, any legal examination is via computer. It has legal value and it is a way
through which examiners can test automated ideally.
For this reason, this research focuses on a line of research and increases a methodology
of use of tools in the Police Computer Forensics Department of Criminology. This
department requires the support of scientific methods, analysis, research techniques
when managing any digital evidence. The proposal is to solve the main research
problem and improve the forensic technical processes in different areas to help the
Ecuadorian courts.
This research benefits and contributes to the Technical Scientific Police in the
Criminology field because it will cover the shortcomings of the institution. This
methodology will be a start to improve and develop of new forensic technologies.
1
INTRODUCCIÓN
Antecedentes de la investigación.
De acuerdo al censo efectuado en el Ecuador año 2011 y el último estudio realizado año
2012 la página web del Instituto Nacional de Estadísticas y Censos (INEC), informa que
el 13,9 % mantiene un computador portátil, 4,1 % más que lo registrado en el año 2011,
el 20,1% mantiene internet inalámbrico por lo que el 35,1 % de los ecuatorianos utiliza
el servicio internet. Realizando un estudio compartido entre los años 2011 y 2012
siendo este último el incremento ha sido el 3.2% de la población ecuatoriana mantiene
internet por lo que a mediano plazo las estadísticas aumentaran y los índices de delitos
informáticos que se mantenían por este medio serán más altos.
En base al manual de prevención y control de Crímenes Informáticos de las Naciones
Unidas clasifica como crimen cibernético el fraude, falsificación y acceso no
autorizado. Por lo que un individuo llamado “Hackers” ya no es una persona quien
violaba las seguridades de algún sistema informático o dispositivo para demostrar sus
conocimientos y habilidades técnicas, so no que va más allá que hace uso de los datos
como la información hallados en estos sistemas como beneficio personal por lo que
puede incurrir en varios delitos informáticos.
Como es lógico cuando la ley se presentó en un inicio, tenía una serie de falencias, que
hasta el momento se han ido puliendo, sobre todo basadas en la realidad Ecuatoriana,
una de las partes que más ha tenido cambios es la parte penal, en un inicio los llamados
delitos informáticos se sancionaban de acuerdo al Código Penal, para ese entonces el
Código Penal no contaba con los tipos penales necesarios para abarcar los nuevos
adelantos informáticos, por lo tanto eran inútiles para dar seguridad al Comercio
Electrónico ante el posible asedio del crimen informático.
En el año 2002 se aprobó un texto definitivo de la Ley de Comercio Electrónico,
Mensajes de Datos y Firmas Electrónicas, y en consecuencia las reformas al Código
Penal que emitía frente a los Delitos Informáticos.
Pero en el año 2014 la Asamblea Nacional del Ecuador ha tomado en consideración los
antecedentes informáticos y los datos estadísticos presentados por la Unidad de
2
investigación del cyber crimen digital tanto de la Fiscalía General como de la Dirección
Nacional de la Policía Judicial e Investigaciones en el nuevo Código Orgánico Integral
Penal (COIP) que se encuentra en vigencia desde el 10 de agosto de 2014, en cual pone
en vigencia seis (06) artículos del Capítulo IV sección tercera denominada DELITOS
CONTRA LA SEGURIDAD DE LOS ACTIVOS DE LOS SISTEMAS DE
INFORMACION Y COMUNICACIÓN, añadiendo en los artículos 456 sobre la cadena
de custodia digital y el Art 500 contenido digital, buscando controlar o tipificar delitos
que años atrás no tenía sentencia o procedimiento.
La masificación de virus informáticos globales, la difusión de pornografía infantil e
incluso actividades terroristas son algunos ejemplos de los nuevos delitos informáticos y
sus fronteras que presentan una realidad difícil de controlar. Con el avance de la
tecnología digital, ha surgido una nueva generación de delincuentes que expone a los
gobiernos, las empresas y los individuos a estos peligros.
Debemos exigir entonces contar no solo con leyes e instrumentos eficaces y
compatibles que permitan una cooperación idónea entre los estados para luchar contra la
Delincuencia Informática, sino también con la infraestructura tanto técnica como con el
recurso humano calificado para hacerle frente a este nuevo tipo de delitos
transnacionales en un mundo virtual.
Ante estos hechos derivados sobre los delitos informáticos o crimen digital, ve la
necesidad y el interés la Policía Nacional del Ecuador ante el LABORATORIO DE
CRIMINALISTICA Y CIENCIAS FORENSES desde el año 2011 crear una sección
Técnica Científica informática, de tratamiento de evidencias digitales dando el nombre
de “Informática Forense” el mismo que servirá para encontrar evidencias de los delitos
informáticos, crimen tradicionales y de esta forma podrán ser utilizadas en cualquier
proceso judicial como prueba de un ilícito, donde se formalizaran las técnicas científicas
analíticas y procedimientos para dar un valor probatorio a las evidencias digitales.
En un crimen común, falsificación, transacciones vía internet, muchas de las veces los
equipos de cómputo portátiles, de escritorio, medios físicos de almacenamiento como:
memorias, teléfonos inteligentes (Smartphone), dispositivos de almacenamiento masivo
(discos duros) etc., son evidencias que guardan información que puede ser relevante y
3
muy sensible dentro de una investigación de un hecho delictivo, por lo tanto se requiere
de mecanismos, técnicas informáticas, para recuperar datos eliminados, formateados,
reconstrucción de la evidencia digital, interpretar, identificar, adquirir, preservar,
analizar y usarlas para que puedan servir como prueba dentro de la etapa de juicio de un
litigio penal.
La finalidad de esta investigación es que el recurso humano puedan dar el uso apropiado
a las herramientas tanto Hardware y Software forenses de análisis y recuperación de
datos, que existen en el Departamento de Criminalística de Pichincha sección
“INFORMATICA FORENSE” en donde se oriente y ayuden a manejar una escena del
delito, en el que se vean involucrados sistemas de información o redes y las posterior
recuperación de evidencias digitales.
Planteamiento del problema.
La tecnología ha tenido un desarrollo sorprendente en los últimos años tanto así que
ahora es utilizada para cometer delitos informáticos tales como: clonación de tarjetas,
piratería, sustracción de datos e información, modificación de datos, pornografía infantil
entre otros delitos, donde se ve automatizado tareas mediante la implementación de
programas, telecomunicaciones etc., han llegado ser parte de la vida del ser humano no
solo en el ámbito laboral sino también en lo personal debido a la información sobre la
identidad de cada persona almacenada en las diversas bases de datos como también en
transacciones de compra venta, pagos, depósitos, se lo realizan a través del internet
todo este flujo de información es trasmitida a través de la red de redes (internet).
También se resalta la gran importancia que deriva la informática forense y sus
componentes, ya que permite la resolución de varias incógnitas existentes internamente
en un computador, sistemas de información u algún dispositivo, puesto que siempre
existe un alto índice de peligrosidad en la información digital que se maneja
diariamente, para lo cual La Policía Nacional del Ecuador Departamento de
Criminalística de Pichincha ha incrementado la sección de informática forense, la
misma que se encarga del estudio, proceso, almacenamiento y tratamiento de evidencia
digital.
4
En la sección de informática forense de Pichincha actualmente labora personal
capacitado que cuenta con equipo especializado en hardware y software para la
realización de análisis forenses dentro de su campo de especialización, cada vez existe
una nueva forma, técnica y método de hacer las cosas, ya que la tecnología va
avanzando en consideraciones muy importantes y aceleradas, por este motivo he visto
la falta de metodologías y técnicas científicas que sean aplicados que permita seguir el
desarrollo de las actividades y el fortalecimiento del sistema mediante un control y
evaluación permanente de la información digital.
He considerado pertinente definir metodologías de uso de herramientas forenses en la
sección de informática forense del Departamento de Criminalística de Pichincha, el cual
permita a través de las políticas y ciencias analíticas conocer el tratamiento de indicios
digitales o evidencias informáticas, el cuidado que debe existir en el manejo de los
equipos dentro y fuera de la escena del delito.
Formulación del problema.
¿Cómo mejorar la metodología de uso de herramientas forenses en la sección de
informática forense del Departamento de Criminalística de Pichincha?
Delimitación del problema.
Objeto de Investigación: Metodología, análisis y técnicas.
Campo de Acción: Herramientas forenses.
El proceso investigativo se ejecutara en la sección de Informática Forense del
Departamento de Criminalística de Pichincha, donde se detectó los síntomas expuestos.
Identificación de la línea de Investigación.
Tecnologías de la Información y Comunicación.
Objetivo General.
Implementar una metodología de uso de herramientas forenses para la Sección de
Informática del Departamento de Criminalística de Pichincha de la Policía Nacional.
5
Objetivos Específicos.
Fundamentar teóricamente todas las herramientas de análisis forenses utilizadas en
el Departamento de Criminalística de Pichincha de la Policía Nacional
Desarrollar una metodología funcional para el uso adecuado de las herramientas de
análisis forense en el Departamento de Criminalística de Pichincha de la Policía
Nacional
Validar la propuesta
Idea a defender.
Dentro de un análisis forense no existe una sistemática universal que nos permita llevar
a cabo una investigación, por tal motivo se busca implementar un modelo definido de
metodología de uso de cada uno de las herramientas de la Sección Informática Forense
del Departamento de Criminalística de Pichincha; para realizar un adecuado análisis
técnico que permita garantizar el cumplimiento tanto en requerimientos jurídicos como
en requerimientos técnicos derivados de la metodología forense.
Metodologías de la investigación.
La metodología investigativa que se empleará en el desarrollo del presente trabajo de
titulación tiene algunos aspectos a destacar: Referente a la modalidad de la
investigación concretamente se utilizará el paradigma denominado cuali-cuantitativo, en
este paradigma permite averiguar las cualidades o características generales del
problema, las que posteriormente son ratificadas mediante la cuantificación de la
investigación de campo llevada a cabo generalmente en base a encuestas.
Entre los tipos de investigación que se utilizaran tenemos:
Bibliográfica: Consiste en la recopilación de información existente en libros revistas e
internet, se la aplica para la elaboración del denominado marco teórico que es el que
fundamenta científicamente la propuesta de solución. En este caso concreto la
investigación bibliográfica se orienta a las herramientas de análisis forense digital.
6
De campo: Esta investigación se lleva a cabo en el sitio mismo en donde se manifiestan
los síntomas de la problemática, en este caso en particular en la Sección de Informática
Forense del Departamento de Criminalística de Pichincha. Este proceso investigativo se
lo desarrollo llevando a cabo unas encuestas y entrevistas.
Las técnicas que se aplicaran en el proceso investigativo son: la encuesta que se llevará
a cabo a los clientes de la empresa así como a los empleados de la misma; también se
realizará una entrevista a la gerente-propietaria para recabar sus criterios relacionados a
la problemática y a la solución de la misma.
Los instrumentos investigativos asociados a las técnicas son: los cuestionarios que se
utilizarán para las encuestas orientadas a los clientes y a los empleados y la guía de
entrevistas para la gerente de la empresa
Métodos: Sera aplicado un método científico que permitirá instaurar una serie de
procedimientos que nos llevara a establecer conclusiones sobre la investigación
realizada.
También se utiliza la metodología para establecer las fases, técnicas y procedimientos
necesarios para la adquisición, preservación, análisis e integración de resultados de un
análisis forense digital.
Técnicas: En este campo se obtendrá fuentes de información o medios de consulta por
opiniones de expertos como peritos informáticos del Departamento de Criminalística de
Pichincha de la Policía Nacional, como peritos civiles; se utilizara sitios y páginas web
como fuentes de información sobre metodologías de la investigación, análisis que serán
aplicados por el investigador forense concluyendo con la elaboración del informe
técnico pericial.
Herramientas: En cuanto a su tratamiento a DISCO DUROS, se utilizara kit forenses
con dispositivos y conectores altamente apropiados para su manejo; así como hardware
y software forense que nos permitirá obtener elementos para el análisis y presentación
de resultados mediante el informe técnico, por lo que me permito listar lo siguiente:
• Ultra kit de dispositivos (conectores).
• Kid de bloqueadores contra escritura. (evitar alteración de evidencia).
7
• TD1.- Hardware forense para adquisición de imagen (bit a bit).
• Falcon Forense.- para adquisición de imagen comprimida con formato (.dd)
• FFREDD.- Estación de trabajo previamente configurado para análisis de los
datos.
• FTK IMAGER.- Software forense de adquisición de imágenes (formatos
diferentes).
• Autopsy.- software de análisis forense digital.
• AccessData Forensic Toolkit FTK.-Software de análisis digital.
• Helix Forensic.- software de análisis forense digital bajo Linux.
• Wintaylor.- software con herramientas forense
• Osf-forensics.- software con herramientas forense
• usb deview forense.- software con herramientas forense
• foca (metadatos).- software de metadatos.
• GetDataBack.- software de recuperación de datos.
• FileRecovery.- software recuperación de datos.
Resumen de la estructura de la tesis (Esquema de contenidos).
Capítulo 1.- Marco Teórico.
En este capítulo realizaremos una investigación preliminar sobre documentos, páginas
web, libros (es decir documental y bibliografía) a fin de tomar decisiones en la
investigación de la criminalística de laboratorio y de campo para orientar en un análisis
de los datos recogidos en diferentes escenarios informáticos
El marco teórico es la etapa de proceso de investigación en que vamos a establecer y
dejar claro la teoría que ordena nuestra investigación es decir la teoría que estamos
siguiendo como la metodología y uso de herramientas forenses en la sección de
informática del Departamento de Criminalística de Pichincha de la policía Nacional, lo
que nos servirá como modelo conceptual ideal para examinar la teoría teniendo como
referencia la parte forense informática.
Capítulo 2. Marco Metodológico.
Este campo se iniciara la metodología o la definición del tipo de investigación que se
encuentra en proceso, por lo que determinara los pasos a seguir de un estudio, sus
8
técnicas y métodos que se puedan emplear en el mismo. En general se determinara todo
el enfoque de la investigación influyendo en instrumentos y hasta la manera de cómo se
va analizar los datos recabados en los diferentes escenarios informáticos, así como los
puntos de investigación en una investigación que va constituir un paso importante en la
metodología. Este puede dividirse en dos tipos principales de investigación de campo o
de laboratorio que a su vez puede clasificarse en métodos deductivos, inductivos y
aportar mediante estudios exploratorios, descriptivos, correlaciónales, y explicativos.
Capítulo 3. Propuesta.
Los pasos que hoy en día se dan en el campo tecnológico son vertiginosos con la
implementación de tecnologías de la información y comunicación; por lo que la Policía
Nacional tiene como misión resguardar y proteger a la ciudadanía por ello se considera
que el crecimiento de la institución debe ser permanente y en constante actualización.
La Policía es consciente de los delitos o incidentes informáticos que suscitan en nuestro
territorio digital Ecuatoriano, demandan grandes desafíos en sus investigaciones una vez
obtenido evidencias computacionales, que requieren de conocimientos, técnicas y
herramientas de informática forense que se pueda realizar sea una reconstrucción,
análisis y materialización de los incidentes de una manera adecuada.
La Policía Nacional y el Laboratorio de las Ciencias Forenses al considerar estos
comportamientos delictivos ocasionados por la tecnología y que afectan directamente a
la sociedad en su conjunto han implementado una sección técnica llamada
“INFORMATICA FORENSE”, cuya misión es efectuar investigaciones informáticas;
por lo que se ha visto la necesidad de crear una metodología para el uso de herramientas
forenses en la Sección de Informática Forense del Departamento de Criminalística de
Pichincha a fin de mantener ecuanimidad al uso, obtención y análisis de cada unos de
los recursos forenses que datan en el área.
Elementos de novedad, aporte teórico y significación practica en dependencia del
alcance de la tesis.
El aspecto más importante del trabajo de investigación es su fundamento teórico, el
mismo que sirve de base para dar solución a la propuesta planteada, por ende el trabajo
9
investigativo el aporte teórico tiene que ver con el fundamento técnico científico
relacionado a las herramientas forense tanto en hardware como software este ultimo
teniendo que ver con el software open source, que se van a utilizar para el análisis y
técnicas de investigación digital en los escenarios de recuperación y procesos forenses.
Por otra parte en la metodología y fases de análisis digital se recogerá el criterio de
varios autores y expertos los mismos que son complementados por las ideas y opiniones
del realizador del presente trabajo investigativo.
El trabajo de titulación tiene por objetivo incrementar y fomentar las nuevas
metodologías y formas de recuperación de datos como información en los diferentes
escenarios presentados en equipos y dispositivos informáticos, que coadyuven al
desenvolvimiento técnico científico y judicial, dejando el antiguo modelo manual
artesanal técnica por lo que este trabajo de investigación técnica tiene una enorme
importancia forense para el autor como para la sección de Informática Forense del
Departamento de Criminalística de Pichincha.
10
CAPITULO I
1.1.Origen y evolución del objeto de investigación
El campo de la informática forense se inició en la década de 1980, poco después de que
las computadoras personales se convirtieran en una opción viable para los
consumidores. En 1984, fue creado un programa del FBI. Conocido por un tiempo
como el Programa de Medios Magnéticos, que ahora se conoce como CART (CART,
del inglés computer analysis and response team), o análisis de informática y equipo de
respuesta, poco después, el hombre al que se le atribuye ser el "padre de la informática
forense", comenzó a trabajar en este campo, su nombre era Michael Anderson, y era un
agente especial de la División de Investigación Criminal del IRS. Anderson trabajó para
el gobierno en esta capacidad hasta mediados de 1990, tras lo cual fundó New
Technologies, Inc., un equipo que lleva la firma forense. (José, A. C. (2014).
Introducción Informática Forense. Colombia: Segunda).
En las próximas décadas, e incluso hoy en día, esta área ha tenido una gran expansión,
el campo de la informática forense continúa creciendo diariamente. Cada vez más
investigadores en investigación informática forense y privados son cada vez un nivel
más amplio de conocimientos en este campo.
Es así que la ciencia informática data de los 40 años es una de las más recientes, su
evolución e integración en la sociedad ha sido muy rápida tomando en consideración
cada década:
40s: se investiga para saber que es compatible.
60s: se investiga para reducir coste y potencia.
80s: se investiga para hacerle fiable y robusta.
00s: se investiga cómo controlar que hacen los usuarios con los ordenadores y
que sucede dentro de estos.
01s (12 septiembre): control total se requiere poder investigar y monitorizar la
actividad en los sistemas de información e internet: Informática Forense.
11
Como ya es conocido la informática forense es la disciplina a través de la cual se realiza
la recolección de pruebas DIGITALES desde un dispositivo electrónico, maquina
computacional, servidores de datos y recientemente teléfonos digitales, mediante la
aplicación de técnicas de análisis y de investigación, con el objetivo de presentar un
elemento probatorio ante investigaciones judiciales, basados en las leyes que lo rigen.
(José, A. C. (2014). Introducción Informática Forense. Colombia: Segunda).
En los últimos 20 años, la cantidad de información almacenada en los sistemas
informáticos han tenido un crecimiento casi exponencial, el mismo hecho de que la
información deje de estar en papel para estar en formato digital requiere un cambio de
mentalidad en la obtención de pruebas en investigaciones, por lo que es necesario saber
cómo obtener pruebas de forma eficiente y útil, debe aparecer el forense del mundo
digital a semejanza del mundo físico. (José, L. R. (2016). Análisis Forense de Sistemas
Informáticos. Argentina: Primera).
La IF, no aparece a causa del Internet por lo que a principios no había redes, siendo los
virus los primeros investigados; por lo que la Informática Forense se inicia con la
ingeniería inversa.
Con la apertura de redes a usuarios cambia la casuística, a finales de los 90s y
principios del milenio la cantidad de redes interconectadas facilita los delitos
informáticos, en la actualidad la gente miente, roba falsifica, escucha, ataca, destruye y
hasta organiza asesinatos y actos terroristas.
La ciencia informática forense fue creada para cubrir las necesidades específicas de las
fuerzas de ley para aprovechar al máximo esta nueva de evidencia electrónica, las
fuerzas del orden no eran capaces de absorber, por falta de personal cualificado y de
infraestructura adecuada la avalancha de delitos informáticos a finales de los 90.
Disciplina auxiliar de la justicia moderna, actuando como garante de la verdad alrededor
de evidencia digital como aporte a un proceso. En si la ciencia no tiene razón de ser si
no existe el delito, entiéndase como todo acto o conducta ilícita o ilegal que se pueda
considerar como criminal, al alterar, destruir, manipular cualquier sistema informático
causando una lesión o poniendo en peligro un bien enmarcado en conceptos jurídicos.
(Bleda, D. F. (2008). Informática Forense. Sevilla. 2008)
12
Mediante el protocolo informático forense como un principio o norma internacional que
regula el manejo de evidencia digital, que ha sido aplicado por los países sudamericanos
como: Colombia, Argentina, Brasil, Venezuela, Bolivia, Uruguay y Ecuador, el
Departamento de Criminalística de Pichincha, ha regularizado la cadena de custodia
digital permitiendo dar el tratamiento correcto al mismo, cual establece en:
• Identificar la evidencia.
• Adquirir la evidencia.
• Preservar la evidencia.
• Analizar la evidencia recolectada.
• Presentación de los resultados.
1.2.Herramientas De Informática Forense.
Con este antecedente teniendo en relación los principios y protocolos informáticos
forenses de manejo de evidencia digital trataremos sobre las herramientas de análisis y
procesamientos de datos hardware y software.
1.2.1. Hardware Forense.
Es una herramienta física a lo que se puede hacer alusión como un destornillador o
martillo, a lo que no necesitan mucho entrenamiento o conocimiento técnico para
usarla; su uso se basa principalmente en la experiencia empírica, principalmente la
fuerza motriz para usarla y poner un funcionamiento. (Bleda, D. F. (2008). Informática
Forense. Sevilla. 2008)
Teniendo en cuenta la metodología veremos el Dispositivo hardware denominado
TABLEAU FORENSIC (clonadora de datos), el mismo que demuestra su
funcionamiento para realizar copia forense o volcado de datos bit a bit de disco origen a
disco destino. Tableau TD1 Forensic Duplicator Users’ Guide, Tableau, LLC, revised
August 21, 2009.
Este producto de segunda generación se ha diseñado para las adquisiciones forenses
independientes, tanto en entornos de campo y laboratorio, de forma nativa tanto la
13
formación de imágenes SATA y discos duros PATA IDE / a velocidades de hasta 9 GB
/ min.
Figura 1. Tableau Forensic Fuente: “Revista Gerencia-análisis forense, 2009”.
1.2.2. Herramienta Forencis Falcon-generador de imágenes.
Esta herramienta de última generación en los nuevos estándares de adquisición de
imágenes forenses digitales, cuya característica es rica en el poder de funcionamiento y
transmisión de datos de hasta 30Gb por minuto, el cual permite generar imágenes
físicas, como lógicas mediante el uso de puertos como USB y DATA, lo cual facilita el
almacenamiento en los diferentes ambientes como servidores o repositorios externos, lo
mismos que son manejados por el Departamento de Criminalística de Pichincha.
Figura 2. Falcon Forencis, Fuente: “Revista-Crónicas de Informático Forense, 2015”.
1.2.3. Análisis de Datos- Servidor forense “FRED”.
Este equipo está diseñado específicamente para el uso forense digital, que servirá para el
almacenamiento de evidencia digital, reportes técnicos, para creación y ejecución de
máquinas virtuales, y para operaciones que requieran una alta capacidad de
procesamiento en especial para el trabajo con varias imágenes forenses importadas, con
un sistema operativo estable y capaz de ser compatible con el software forense que se va
14
a utilizar (Windows licenciado), disco duro con gran capacidad de almacenamiento
(2TB) como base en configuración RAID que serán utilizados como centros de acopio
de información de casos trabajados, y una parte de la configuración para trabajos
temporales o tareas específicas.
Figura 3.. El servidor Forense FRED, Fuente: “Revista- Data Inteliget, 2014”.
1.2.4. Centro de datos - Data Center.
El Departamento de Criminalística de Pichincha de la Policía Nacional cuenta con un
DATA CENTER el mismo que es un centro de procesamiento de datos, una instalación
empleada para albergar un sistema de información de componentes asociados, como
telecomunicaciones y los sistemas de almacenamientos donde generalmente incluyen
fuentes de alimentación redundante o de respaldo de un proyecto típico de DATA
CENTER que ofrece espacio para hardware en un ambiente controlado, como por
ejemplo acondicionando el espacio con el aire acondicionado, extinción de encendidos
de diferentes dispositivos de seguridad para permitir que los equipos tengan el mejor
nivel de rendimiento con la máxima disponibilidad del sistema.
Alberga una capacidad de almacenamiento de 10TB diseñado para el acopio de
imágenes forenses adquiridas por diferentes casos investigativos que serán recopilados
en forma temporal hasta que la autoridad competente lo disponga y/o dependiendo de la
sensibilidad que conlleva una investigación técnica.
15
Figura 4. Data Center, Fuente: “Revista- Data Intelligent, 2016”
1.2.5. Centro de procesamiento de Datos - Servidor Forense Móvil “FRED L”
Equipo Portátil, “FRED L”.
Este equipo portátil está diseñado para realizar trabajos de campo en casos que se
amerite, esto es para el traslado de personal técnico con los equipos y herramientas
necesarias a operar en el escenario o campo abierto. Este equipo cuenta con alta
capacidad de procesamiento para poder realizar las multitareas que demandan la
Provincia y el territorio digital ecuatoriano. Entre las identificaciones técnicas de este
equipo tenemos: Sistema operativo estable y capaz de ser compatible con el software
forense que se va a utilizar (Windows Licenciado), disco duro con gran capacidad de
almacenamiento (1TB), memoria RAM de alta velocidad.
Figura 5. Equipo FERD L, Fuente: “Revista- Data Intelligent, 2016”.
16
1.2.6. Maletín Adaptadores, Bloqueadores – “UltraKit” con dispositivos forense.
Es un kit portátil que contiene una completa familia de bloqueadores de escritura de
hardware para uso en la adquisición de una imagen forense prácticamente cualquier
disco duro que puede encontrar (IDE, SATA, SAS o USB). El equipo UltraKit de Fred-
L contiene todos los accesorios necesarios para su uso en el campo técnico.
Figura 6. Maletín Ultra Kit bloqueadores de escritura, Fuente: “Autor: Elaboración propia obtenido desde el
Laboratorio de Criminalística Quito”.
1.3.Herramientas en software informático forense.
Es una herramienta Lógica e intangible, que nos permite analizar, extraer, filtrar, entre
otras consideraciones conforme a las bondades que demanden dicho software.
Generalmente se utiliza para el procesamiento de imágenes forenses, creaciones de
imágenes forenses, permitiendo la búsqueda de rastros digitales, tratamientos y
recopilación de evidencias digitales.
1.3.1. Herramienta Crear Archivos De Imagen, Visualización Previa De Datos -
FTK IMAGER.
Uno de los productos de la familia AccesData, tenemos el software FTK IMAGER,
orientado principalmente a la adquisición y tratamientos de imágenes de dispositivos de
almacenamiento para ser posteriormente utilizados como evidencias forenses.
Este producto tiene una gran ventaja para los que no se llevan bien con la línea de
comandos: su interfaz gráfica, que permite crear imágenes de todo tipo con cómodos
asistentes y funciones agrupadas en menús. Además, al tratarse de una herramienta
17
Windows, FTK Imager es fácil de instalar y permite operar con dispositivos sujetos a
controladores no universales, que muchas veces dificultan su montaje otros sistemas.
Figura 7 Software de Análisis Forense FTK Imager, Fuente: “Manual Acces Data Recovery Forencis Toolkit, 2011”
Es una herramienta para realizar replicas y pre visualizar datos que permiten
rápidamente avaluar la evidencia digital para determinar si se debe realizar un análisis
posterior con una herramienta forense como Access Data Forensics toolkit (FTK), FTK
puede crear copias perfectas (imágenes forenses) de datos de equipos y dispositivos de
computo sin realizar cambios en la evidencia digital. (Chris Jensen, D. (2016). FTK
USER GUIDE. USA: Primera).
Esta herramienta tiene una gran ventaja por ser una interfaz gráfica que permite crear
imágenes de todo tipo con cómodos asistentes y funciones agrupadas en menús. La
herramienta permite generar imágenes de dispositivos de almacenamiento en varios
formatos, una vez realizada la imagen, podemos añadirla como evidencia al caso, a
través de las funcionalidades de FTK:
1.3.2. Software Análisis De Datos - Acces Data Forensic Toolkit “FTK”.
Forensic Toolkit (FTK) es una herramienta reconocida alrededor del mundo como el
estándar en software forense de computadoras. Por lo tanto el Departamento de
18
Criminalística adquirido este software sobre esta plataforma digital de investigaciones,
validada por la corte internacional como última tecnología de análisis forense de
computadoras, descifrado de contraseña y de información, todo ello en una interfaz
intuitiva y personalizable. FTK ha sido construido con la velocidad, análisis y
escalabilidad que la clase de los investigadores forenses que requiere, conocido por su
interfaz intuitiva el análisis de correo electrónico, vistas personalizables de datos y la
estabilidad, FTK establece el marco para una expansión sin problemas.
Figura 8. Portada del Software de Análisis Digital Acces Data FTK Forensic Toolkit, Fuente: “Manual Acces Data
Recovery Forencis Toolkit 2010”
El kit de herramientas forenses es ahora el equipo más avanzado en software de análisis
forense, proporcionando una funcionalidad que normalmente sólo los laboratorios
técnicos informáticos con una fuerte cantidad de dinero podrían pagar. Sin embargo,
estamos comprometidos con la ética profesional para el cumplimiento a la justicia
ecuatoriana en hacer que nuestra labor policial cibernética esté a disposición de todos
los servidores policiales y civiles, ya sea en cumplimiento de la ley, la educación, una
agencia gubernamental, una empresa o la realización de investigaciones digitales como
fuente del conocimiento de servicios de informática forense.
19
Figura 9. Entorno del Software de Análisis Digital Acces Data FTK Forensic Toolkit, Fuente: “Manual Acces Data
Recovery Forencis Toolkit, 2010 .
1.3.3. Software De Análisis De Datos - Autopsy Forensic Browser – Linux
Es una herramienta que está basada en línea de comandos del Sleuth Kit. La unión de
estas herramientas las cuales están instaladas en un servidor utilizando un sistema
basado en una plataforma Unix los cuales conformar una completa herramienta forense
la solamente necesita de un sistema operativo y un browser para poder hacer uso de la
misma. Otro punto destacable es que puede analizarse tanto una computadora con
Windows como con Unix ya que soporta sistemas de archivos como NTFS, FAT,
UFS1/2 y Ext2/3.
El funcionamiento está basado principalmente en una buena práctica forense basándose
en un análisis post mortem y uno vivo. En el caso del post mortem se hace la
investigación desde otro sistema operativo y con el sistema en cuestión a investigar sin
cargar. Por lo tanto los datos que obtendremos serán referidos a la integridad de los
archivos, logs del sistema, la estructura que tienen los ficheros y los elementos que han
sido borrados. (Alonso Eduardo, C. Q (2007). Manual. Argentina: Primera).
20
En el caso del vivo se analiza el sistema en cuestión cuando éste está en funcionamiento
por lo que se analizan ficheros, procesos, memoria, etc luego de que se confirma que
hay evidencia se puede adquirir el sistema a través de una imagen por lo que se puede
realizar a posteriori un análisis de sistema muerto.
Figura 10. Software de Análisis Autopsy, Fuente: “Libro-The Basics of Digital Forensics: The Primer for Getting
Started in Digital Forensics- Autor John Sammoun, 2010”
1.3.4. Software De Análisis De Datos - Autopsy Forensic Browser (Windows)
Inicialmente desarrollada para plataformas UNIX, esta suite actualmente se encuentra
disponible también para OS X y Windows. Además, TSK cuenta con una interfaz
gráfica conocida como Autopsy que agrupa todas sus herramientas y plugins, el
funcionamiento es amigable para profesionales que no manejan líneas de comando su
presentación es de modo grafico que permite la Identificación y Descubrimiento de
información relevante de datos como imágenes de disco duros entre otros procesos.
(Alonso Eduardo, C. Q (2007). Manual. Argentina: Primera).
Explicaremos de manera muy rápida los módulos son los que permitirán analizar y el
posible descubrimiento de información relevante y se describen a continuación:
Recent Activity: extrae la actividad reciente que se ha realizado en la
computadora bajo investigación. Esto incluye los documentos recientemente
abiertos, dispositivos conectados, historial web, cookies, descargas y
marcadores, por ejemplo.
Hash Lookup: permite agregar bases de datos con valores de hash para archivos
conocidos, como los archivos del sistema operativo o de aplicaciones instaladas.
21
Así, puede ahorrarse mucho tiempo al evitar realizar búsquedas en estos
archivos conocidos.
Archive Extractor: permite recuperar archivos eliminados, basándose en los
metadatos residuales que quedan en el disco, así como también recuperar
archivos en espacios no asignados en el disco, mediante la detección de los
encabezados de archivos.
Exif Image Parser: permite analizar la información disponible en el encabezado
Exif de los archivos de imagen JPEG que se encuentran en el disco. Esto provee
información acerca de la cámara con que se tomó la imagen, fecha y hora o la
geo localización, entre otras cosas.
Keyword Search: puede definirse una lista de palabras clave o expresiones
regulares a buscar en todo el disco. Como se observa en la imagen anterior,
Autopsy ya viene con una lista de expresiones regulares incluidas para búsqueda
de números telefónicos, direcciones IP, direcciones de correo electrónico y
URL.
Figura 11. Software de Análisis forense digital Autopsy, Fuente: “Libro-The Basics of Digital Forensics: The Primer
for Getting Started in Digital Forensics- Autor John Sammouns, 2007”
1.3.5. Respuesta Incidentes Informáticos - LIVE CD (HELIX FORENSIC)
Se trata de un Live CD de respuesta ante incidentes, basado en una distribución
Linux denominada Knoppix (que a su vez está basada en Debian). Posee la
mayoría de las herramientas necesarias para realizar un análisis forense tanto de
equipos como de imágenes de discos.
22
Figura 12. Live CD Helix diseñado para Análisis de información “Revista informática-Mundo Click, 2007”
Este CD ofrece dos modos de funcionamiento tras ejecutarlo nos permitirá elegir entre
arrancar un entorno MS Windows o uno tipo Linux. En el primero de ellos disponemos
de un entorno con un conjunto de herramientas, casi 90 Mb, que nos permitirá
principalmente interactuar con sistemas “vivos”, pudiendo recuperar la información
volátil del sistema.
En el arranque Linux, disponemos de un Sistema Operativo completo, con un
núcleo modificado para conseguir una excelente detección de hardware. Es ideal para el
análisis de equipos “muertos”, sin que se modifiquen las evidencias pues montará los
discos que encuentre en el sistema en modo sólo lectura para análisis y extracción de
evidencia digital potencialmente relevante. (Alonso Eduardo, C. Q (2013). Manual.
Argentina: Primera).
Figura 13. Entorno Grafico del Live CD, Puede Ejecutarse en Modo Linux y Windows como una Aplicación Normal.
Fuente: “Revista informática-Mundo Click, 2013”
23
1.3.6. Herramienta De Recolección De Datos - Live CD (F.I.R.E. Linux.)
Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y
análisis forense, compuesto por una distribución Linux a la que proporciona una serie
de utilidades de seguridad, junto con un interfaz gráfico que hace realmente fácil su uso
y manipulación de cada una de las herramientas.
Al igual que el kit anterior, por su forma de montar los discos no realiza ninguna
modificación sobre los equipos en los que se ejecute, por lo que puede ser utilizado con
seguridad.
A lo que podemos citar algunas de las bondades de la herramienta para un correcto
análisis forense.
Recolección de datos de un sistema informático comprometido y hacer un
análisis forense.
Revisar la existencia de virus o malware en general desde un entorno fiable.
Posibilidad de realización de test de penetración y vulnerabilidad. Recuperación
datos de particiones dañadas.
Las herramientas que posee F.I.R.E son conocidas y muy recomendables para la
utilización dentro de la disciplina técnica como es la informática forense.
Figura 14. Live CD de arranque apara analisis forenses e incidentes informáticos basado en OS Linux. Fuente:
“”Libro- Hacking y Forensic “Autor Frank Ebel edición 2016”
1.3.7. Recolección, Análisis De Información - CAINE 7
Esta herramienta forense se basa bajo el sistema operativo Ubuntu con una arquitectura
de 64bits y 32bits es una de sus excelentes funciones es que permite bloquear
24
dispositivos como discos o unidades de almacenamiento y ponerse en modo de solo
lectura con una simple herramienta que posee una interfaz gráfica, tal como se puede
observar en la figura grafica No. 15.
Dentro de sus características más destacables podemos mencionar las siguientes:
Un entorno amigable que acompaña al analista forense digital durante las
fases de la investigación – desde la adquisición hasta la presentación del
reporte resultados mediante un informe pericial informático.
Una interfaz gráfica fácil e intuitiva que ayudará a explorar una gran
cantidad de aplicaciones.
Una selección semiautomática de las evidencias para generar el informe
final.
Herramientas fáciles de manejar y comandos muy utilizados dentro de las
distribuciones como son Ubuntu o Debian.
La interesante aplicación Systemback, que permite volver atrás el sistema en
forma similar a un punto de restauración; puede ser útil si este se vuelve
inestable luego de alguna actualización o de bajar alguna herramienta o
librería.
Puede utilizarse como LiveCD e inclusive se puede ejecutar arrancando el
sistema desde un pendrive.
Finalmente cada analista forense crea su propia metodología o entorno amigable por lo
que podemos mencionar que la mayoría de los sistemas desarrollados para el análisis
forense responden a distintos estándares o metodologías técnicas. Por eso herramientas
orientadas a un estudio forense generarán resultados o reportes que podrán ser
presentados como evidencia ya materializada en un juicio final esto ya sea ante el fiscal
o tribunales de justicia.
25
Figura 15. Live Cd CAINE de Arranque para Análisis forenses e incidentes informáticos basado en OS Linux.
Fuente: “Libro- Hacking y Forensic “Autor Frank Ebel edición 2016”
1.4.Análisis de las distintas posiciones teóricas sobre el objeto de investigación.
1.4.1. Informática forense.
Es la ciencia forense conformada por técnicas científicas y analíticas a la infraestructura
tecnológica cuyo objetivo es Identificar, adquirir, preservar, analizar y presentar
información almacenada en medios digitales sean válidos dentro de un proceso legal y
que permitan determinar la posible autoría.(Rivadeneira Paez, J. J. (2010). Derecho y
Nuevas Tecnologias. Quito: Primera).
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales,
autenticar datos y explicar las características técnicas del uso aplicado a los datos y
bienes informáticos, que han sido procesados electrónicamente y guardados en una
computadora o sistema que servirá como evidencia digital. (Rivadeneira Paez, J. J.
(2010). Derecho y Nuevas Tecnologias. Quito: Primera).
La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas
que luego serán analizadas.
Esta disciplina hace uso no solo de tecnología evolucionada o de última generación para
poder mantener la integridad de los datos y del procesamiento de los mismos; sino que
también requiere de una especialización y conocimientos avanzados en materia de
informática, sistemas y telecomunicaciones para poder detectar dentro de cualquier
elemento o dispositivo electrónico, magnético, móvil, digital y óptico, lo que ha
26
ocurrido un incidente o infracción. (Dr. Santigo, A. Del Pino. (2010). Derecho y Nuevas
Tecnologias. Quito).
1.4.2. Objetivo de la Informática Forense.
Recobrar los registros y mensajes de datos existentes dentro de un equipo informático o
sistemas de información, y si es necesario reconstruir los mismos con la finalidad de
obtener información electrónica o digital que puedan servir como medio de prueba en
un proceso judicial. (Domínguez, F. L. (2013). Introducción Informática Forense.
Colombia: Primera).
1.4.3. Uso de la informática forense.
Con la evolución de la tecnología y los nuevos métodos de realizar los crímenes
informáticos, mediante la utilización de herramientas y técnicas progresivas se vuelven
cada vez más importantes donde ha tomado fuerza en el uso y análisis sobre la
infraestructura tecnológica evidenciando una gran demanda de requerimientos periciales
recibidos en la sección de informática forense dentro del Departamento de
Criminalística de la Policía Judicial de Pichincha, cuyos resultados coadyuvan a la
administración de justica en el Ecuador. (Salamea Carpio, D. (2012). El Delito
Informático. Guayaquil: Segunda).
1.4.4. En qué consiste la Informática Forense.
En identificar, adquirir, preservar, analizar, y materializar los resultados de los hechos
ocurridos en un escenario informático “escena del crimen”. (Dr. Santiago, A. Del Pino.
(2010). Derecho y Nuevas Tecnologías. Quito).
1.4.5. Importancia:
El Departamento de Criminalística de Pichincha sección de Informática Forense como
una rama multidisciplinar de campo y laboratorio que aportan con conocimientos,
métodos de análisis identificativo, cuantitativo y cualitativo dentro de un escenario
digital que son evidenciados para la buena administración de justica a la necesidad del
personal de derecho y administradores de la ley en el Ecuador a fin de poder afrontar
nuevas tareas probatorias.
27
Esta necesidad crea el nacimiento de los llamados peritos informáticos forenses con
pleno conocimiento en el área de sistemas, telecomunicaciones y telemáticos.
Los Peritos Informáticos forenses del Departamento de Criminalística de Pichincha,
tienen la ardua labor de realizar investigaciones en busca de evidencia, rastro
digital o electrónico, procesados por un medio tecnológico en aras de coadyuvar con los
entes investigativos policiales como civiles, autoridades de derecho entre otros.
1.4.6. Usos:
Prosecución Criminal:
Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes,
incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de
impuestos, robo de identidad o pornografía infantil. (Acurio Del Pino, S. (2012).
Derecho Informático. Quito: Primera).
Litigación Civil:
Casos que tratan con fraude, discriminación, acoso, divorcio, amenazas pueden ser
ayudados por la informática forense. (Acurio Del Pino, S. (2012). Derecho Informático.
Quito: Primera).
Mantenimiento de la ley:
La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así
como en la búsqueda de información una vez que se tiene la orden judicial para hacer la
búsqueda investigativa requerida por una autoridad competente. (Acurio Del Pino, S.
(2012). Derecho Informático. Quito: Primera).
Investigación científica:
Academias y universidades aprovechan las bondades de la informática forense para
realizar estudios de seguridad, viabilidad y vigilar la evolución de las amenazas
ocasionados por conductas criminales informáticas e identificar las tendencias de los
ataques informáticos. (Domínguez, F. L. (2014). Introducción Informática Forense.
Colombia: Primera).
28
1.4.7. Cómo y dónde buscar elementos informáticos digitales o electrónicos.
La investigación técnica es originada mediante un requerimiento de carácter judicial
esto sea directamente o en los allanamientos judiciales que son efectuados por el
personal de Criminalística especializado en Inspección Ocular Técnica en coordinación
con los peritos informáticos forenses quienes acude a una escena del crimen y hayan
sido utilizados herramientas o medios tecnológicos para el cometimiento de un delito, la
búsqueda será efectuada mediante técnicas o métodos de indagaciones en los diferentes
ambientes del escenario informático, evidencias que serán fijados fotográficamente,
describiendo cronológicamente los equipos y dispositivos tecnológicos. (Domínguez, F.
L. (2014). Introducción Informática Forense. Colombia: Primera).
1.4.8. Podemos obtener evidencia como:
Mediante la utilización de herramientas que permita dar el adecuado tratamiento a la
evidencia digital o electrónica al que se podrá obtener: un inicio y ultimo acceso al
sistema operativo, el Log de auditoría generado por los aplicaciones o incidentes
informáticos (posibles ataques a los sistemas de información), cookies, archivos
temporales, actualizaciones en el SO, códigos maliciosos que se encuentren en
ejecución, restos o residuos de instalaciones, adulteraciones total o parcial, metadatos de
los archivos, entre otros indicios digitales. (Domínguez, F. L. (2014). Introducción
Informática Forense. Colombia: Primera).
1.4.9. Naturaleza Legal.
1.4.10. Código penal.
De acuerdo con la norma rectoras en el artículo 1 el Código Integral Penal “tiene como
finalidad normar el poder punitivo del Estado, tipificar las infracciones penales,
establecer el procedimiento para el juzgamiento de las personas con estricta observancia
del debido proceso promover la rehabilitación social de las personas sentenciadas y la
reparación integral de las víctimas”.
29
El Código Orgánico Integral Penal aprobado en agosto del 2014, permite sancionar
delitos informáticos, que pueden tener condenas de cárcel por entre 3 a 5 años.
La sección tercera del Capítulo 3 del Código Integral Penal COIP, presenta los delitos
contra la seguridad de los activos de los sistemas de información y comunicación.
De los delitos informáticos tratados en esta sección son los siguientes:
Art. 229: Revelación ilegal de bases de datos.
Art. 230: Interceptación ilegal de datos.
Art. 231: Transferencia electrónica de activo patrimonial.
Art. 232: Ataque a la integridad de sistemas informáticos.
Art. 233: Delitos contra la información pública reservada legalmente.
Art. 234: acceso no consentido a un sistema informático, telemático de
Telecomunicaciones.
Es de vital importancia citar para el desarrollo de este tema de investigación de tesis
mencionar artículos que están tipificados en el COIP y están relacionadas directamente
con las Ciencias Forenses en particular con Informática Forense, debido a que estos
artículos hacen alusión parte de la cadena de una custodia que se puede aplicar dentro
de un juicio por delito informático en los diferentes ámbitos relacionados a sistemas de
información.
Art. 449: Atribuciones del Personal del Sistema especializado integral de
Investigación, medicina legal y Ciencias Forenses.
Art. 456: Cadena de Custodia.
Art. 457: Criterios de Valorización.
Art. 456: Cadena de Custodia.
Medios de Prueba Art. 499: Reglas Generales: El documento.
Art. 500: Contenido digital.
30
1.4.9.2 Delitos contra la seguridad de los activos de los sistemas de información y
comunicación.
Intercepción ilegal de datos.
Este articulo hace alusión a las personas que de alguna manera, intercepten escuchen,
graben o alteren datos informáticos ya sea en el emisor o en el receptor, por lo que
pueden ser juzgados bajo este articulo si llegara a comprobar la alteración de algún
archivo o dato informático.
Trasferencia electrónica de activo patrimonial.
La transferencia electrónica de activo patrimonial sanciona a la o las personas que son
ánimo de lucro altere sistemas o datos informáticos entre estos imágenes, audio, etc.,
con el fin de apropiarse de un activo patrimonial no concedido. (Código Orgánico
Integral Penal. (2014, Art. 231). Delitos Contra la Seguridad de Activos de los sistemas
de Información y Comunicación. Quito: Primera).
Ataque a la integridad del sistema informático.
Este artículo sanciona a la o las personas que atenten contra la integridad física y lógica
de los sistemas informáticos. Este constituido como una alteración, deterioro o cause un
mal funcionamiento o comportamiento no deseado, que suprima datos, mensajes de
correo electrónico etc.
Se puede acudir a este artículo para respaldar la investigación técnica de información o
datos alterados en diferentes escenarios informáticos con el fin de verificar la
autenticidad y validez de los mismos para ser utilizados como evidencia en algún
delito. (Código Orgánico Integral Penal. (2014, Art 232). Delitos Contra la Seguridad
de Activos de los sistemas de Información y Comunicación. Quito: Primera).
Acceso no consentido a un sistema informático, telemático o de
telecomunicaciones.
Este artículo sanciona a la o las personas que accedan sin previa autorización a un
sistema informático o parte de ella a explorar ilegítimamente el acceso logrado o
31
accedido, el cual este inmerso en modificar, alterar dato o información esto sea en una
dirección electrónica como una página web, o en su defecto capturar el tráfico de red
para ofrecer los servicios a costa de los mismos. (Código Orgánico Integral Penal.
(2014, Art 234). Delitos Contra la Seguridad de Activos de los sistemas de Información
y Comunicación. Quito: Primera)
1.4.9.3 Sistema especializado integral de investigación de medicina legal y ciencias
forenses.
Dentro del Código Integral Penal Ecuatoriano Art. 449.- Atribuciones.- existen
numerales acorde al campo de aplicación de la informática forense, en vista que el
COIP no contiene o indica claramente los procesos y metodología para realizar una
investigación forense digital, sin embargo se tomar algunas referencias en el cual se
aplica. (Código Orgánico Integral Penal. (2014, Art 449). Sistema Especializado
integral de Investigación, de Medicina Legal y Ciencias Forenses. Quito: Primera)
Numeral 1.- “Dar aviso a la o el fiscal en forma inmediata de cualquier notica que
tenga sobre el cometimiento de un delito de ejercicio público de acción penal”.
Numeral 2.- “vigilar, resguardar, proteger y preservar el lugar donde presuntamente se
comete la infracción, y recoger los resultados, huellas señales, armas, objetos,
instrumentos, y demás vestigios.”
Numeral 3.- “Proceder a la identificación y levantamiento del cadáver”. Este inciso nos
ayuda u orienta a dar el mismo tratamiento técnico cadavérico de un ser humano a un
equipo tecnológico con la diferencia de ejecuciones tecnológicas forenses.
Numeral 4.- “cumplir de acuerdo con los plazos señalados, las disposiciones para la
práctica de las diligencias investigativas de la o el fiscal”.
1.4.9.4 Cadena de custodia.
Expresamente está estipulado dentro del Art. 456 cuyo texto manifiesta: “Se aplicara
Cadena de Custodia a los elementos físicos o contenido digital materia de prueba, para
garantizar su autenticidad acreditando su identidad y estado original; las condiciones,
las personas que intervienen en la recolección, envió, manejo, análisis y conservación
de estos elementos y se incluirán los cambios hechos en ellos por cada custodio”.
(Código Orgánico Integral Penal. (2014, Art 456). Cadena de Custodia. Quito: Primera).
32
Este articulo explica el cómo debemos dar un tratamiento físico y digital a los
materiales consideración como indicios, que servirá como medio de prueba en una etapa
de juicio, es de gran importancia aplicar cadena de custodia, pues los elementos de
prueba no se verán comprometidos en caso de una mala práctica, ya que se llevaran un
registro de cambios efectuados en cada instancia, de esta forma no se verá alterada la
evidencia digital.
1.4.9.5 Criterios de valoración.
Dentro de este artículo se tomara en cuenta la cadena de custodia propiamente bien
manejada o registrada sus movimientos, para valorar su autenticidad, integridad, y
legalidad en el cual se fundamenta los informes periciales. (Código Orgánico Integral
Penal. (2014, Art 457). Criterios de Valoración. Quito: Primera).
1.4.9.6 MEDIOS DE PRUEBA: REGLAS GENERALES.
En este artículo tarta sobre los medios de prueba que están consideración como: el
documento, el testimonio, la Perica; este último estará sujeto a la reglas generales de
prueba documental, en el cual se establece que los archivos y registros ya sean físicos o
digitales sirven como material probatorio en una etapa de juicio. (Código Orgánico
Integral Penal. (2014, Art 498, 499). Medios de Prueba, Reglas Generales. Quito:
Primera).
1.4.9.7 Medio De Prueba Contenido Digital.
Este articulo manifiesta que: “todo acto informático que representa hechos, información
o conceptos de la realidad, almacenados, procesados o trasmitidos por cualquier medio
tecnológico [….]”, estarán sujetas a la investigación cuatro (4) reglas:
“Análisis, valorización, recuperación y presentación del contenido digital
almacenados en dispositivos o sistemas informáticos se realizara a través de
técnicas digitales forenses”. (Código Orgánico Integral Penal. (2014, Art
500). Contenido Digital. Quito: Primera).
33
“cuando el contenido digital se encuentre almacenado en sistemas y
memorias volátiles o equipos tecnológicos que formen parte de la
infraestructura critica del sector público o privado [……..]”.(Código
Orgánico Integral Penal. (2014, Art 500). Contenido Digital. Quito:
Primera).
“Cuando el contenido digital se encuentre almacenado en medio no volátiles,
se realizara su recolección con técnicas digitales forenses para preservar su
integridad [……]”. Código Orgánico Integral Penal. (2014, Art 500).
Contenido Digital. Quito: Primera).
“Cuando se recolecte cualquier medio físico que almacene, procese o
trasmita contenido digital durante una investigación, registro o allanamiento,
se deberá identificar o inventariar cada objeto individualmente [……]”
(Código Orgánico Integral Penal. (2014, Art 500). Contenido Digital. Quito:
Primera).
1.5.Valoración Crítica De Los Conceptos Principales De Las Distintas Posiciones
Teóricas Sobre El Objeto De Investigación.
Es el estudio de los conceptos básicos de la informática forense y pericial, de los
computadores, de los delitos y de las pruebas digitales.
Cadena de Custodia: La identidad de personas que manejan la evidencia en el tiempo
del suceso y la última revisión del caso, es responsabilidad de la persona que maneja la
evidencia asegurar que los indicios son registrados y contabilizados durante el tiempo
en el cual están en su poder, y que son protegidos, llevando un registro de los nombres
de las personas que manejaron la evidencia o artículos con el lapso y fechas de entrega y
recepción. (Judicial, d. A. (2015). Manual de cadena de custodia policía judicial.
Manual. Quito, ecuador: primera).
Imagen Forense: Llamada también "Espejo" en inglés "Mirror", la cual es una copia bit
a bit de un medio electrónico de almacenamiento, en la imagen quedan grabados los
espacios que ocupan los archivos, áreas borradas incluyendo particiones escondidas.
34
FORENSICCOMPUTERS. (s.f.). http://www.forensiccomputers.com/tableau-td2u-
ultimate-kit.html. Recuperado el 24 de OCTUBRE de 2016.
Análisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos
de información relacionada al archivo (metadatos, otros..), consistente entre otras cosas
en la firma del archivo o hash (indica la integridad del archivo), autor, tamaño, nombre
y ruta, así como su creación, ultimo acceso y fecha de modificación.
FORENSICCOMPUTERS. (s.f.). http://www.forensiccomputers.com/tableau-td2u-
ultimate-kit.html. Recuperado el 24 de OCTUBRE de 2016.
Identificación: Es muy importante conocer los antecedentes, situación actual y el
proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las
búsquedas y la estrategia de investigación incluye muchas veces la identificación del
bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que
verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal
que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso
una vez revisados los resultados.
Preservación: Este paso incluye la revisión y generación de las imágenes forenses de la
evidencia para poder realizar el análisis, dicha duplicación se realiza utilizando
tecnología moderna para poder mantener la integridad de la evidencia y la cadena de
custodia que se requiere, al realizar una imagen forense, nos referimos al proceso que se
requiere para generar una copia “bit-a-bit” de todo el disco, el cual permitirá recuperar
en el siguiente paso toda la información contenida y borrada del disco duro para evitar
la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de
hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una
alteración no deseada en los medios.
Análisis: Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por
medio del proceso forense para poder encontrar pruebas de ciertas conductas se pueden
realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios
de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de
archivos específicos, recuperación e identificación de correos electrónicos, recuperación
de los últimos sitios visitados, recuperación del caché del navegador de Internet, otros.
35
Presentación: Es el recopilar toda la información que se obtuvo a partir del análisis para
realizar el informe y la presentación a los administradores de justicia, y de su correcta
interpretación sin hacer uso de tecnicismos.
Código Hash: Un "HASH" es una función matemática y/o lógica que nos permite
transformar un conjunto de datos (texto, imágenes, archivos) en un único valor
numérico; su característica en definitiva las funciones hash se encargan de representar
de forma compacta un archivo o conjunto de datos que normalmente es de mayor
tamaño que el hash independientemente del propósito de su uso. (jarroba.com. (Mayo
de 2016). Recuperado el 2016 de 2016, de https://jarroba.com/codigo-hash/).
1.6.Análisis crítico sobre el objeto de investigación actual del sector rama o
empresa, contexto institucional.
Increíblemente los delincuentes ya no están en la parte o escenarios como: arranches,
robo personas, abigeato, entre otros que tengan que ver o estar involucrados
directamente, hoy están utilizando la tecnología para facilitar el cometimiento de
infracciones y eludir a las autoridades, este hecho ha creado la necesidad tanto la Policía
Judicial, y las Unidades técnicas como Criminalística, el Ministerio Público y la
Función Judicial deba especializarse y capacitarse en estas nuevas áreas en donde las
TICs, (Tecnologías de la Información y Comunicaciones) se conviertan en herramientas
necesarias en auxilio y ser parte de la Justicia y la persecución de delito y el delincuente
quien delinque.
Los hábitos de las personas han cambiado con el uso de las TICs, también las formas en
que los delincuentes cibernéticos actúan y comenten sus actos reprochables en una
sociedad, es así que el acceso universal a las tecnologías de la información y la
comunicación brinda nuevas oportunidades para que personas irresponsables,
delincuentes, pornógrafos infantiles, artistas del engaño, quienes realizan toda clase de
ataques contra la intimidad, fraudes informáticos, contra el tráfico jurídico probatorio
que atacan a la integridad de los sistemas computacionales y de red en el Ecuador
extendiendo a nivel mundial, actuando de forma desmedida sin que los operadores de
justicia dentro del territorio digital Ecuatoriano puedan hacer algo ya que estos han
quedado relegados en sus actuaciones por la falta de recursos tecnológicos y
36
capacitación a fin de lidiar con la evidencia digital presente en toda clase de
infracciones y especialmente en los llamados Delitos Informáticos.
Es por eso que en países como Estados Unidos, Alemania o Inglaterra, pasando por
Latinoamérica en países como Argentina, Colombia, Bolivia, México y ahora en
Ecuador, se han creado y desarrollado técnicas, metodologías y herramientas
informáticas a fin de lograr tanto el descubrimiento de los autores de dichas infracciones
o incidentes informáticos así como asegurar la prueba o indicio mediante herramientas
dentro del campo de informática Forense, ciencia Criminalística que sumada al impulso
y utilización masiva de las Tecnologías de la Información y de la Comunicación en
todos los ámbitos, ha adquirido una gran importancia debido a la globalización de la
sociedad de la Información (Acurio Del Pino, S. (2012). Derecho Informático. Quito:
Primera). Pero a pesar de esto esta ciencia no tiene un método estandarizado, razón por
la cual su admisibilidad dentro de un proceso judicial podría ser cuestionada. Es
necesario mencionar que son los operadores de justicia tanto como los profesionales de
la informática de la Unidad científica de Criminalística y la Unidad de Delitos
Tecnológicos de la Policía Judicial, los llamados a combatir los delitos tecnológicos, ya
que los primeros saben cómo piensa el delincuente y su modus operandi, mientras los
otros conocen el funcionamiento de los equipos y las redes informáticas. (Acurio Del
Pino, S. (2012). Derecho Informático. Quito: Primera).
La Legislación Ecuatoriana tiene el marco legal correspondiente, articulándose a éste las
diferentes políticas para su cumplimiento y mejoramiento de la situación existente
dentro del campo de la informática forense; sin embargo, existen factores de orden
particular que imposibilitan el cumplimiento de lo tipificado en la ley, pero que es
necesario seguir analizándolos a fin de poder tratarlo dentro de los principios técnicos
en razón del tiempo y las circunstancias, pero siempre, en beneficio de la sociedad
ecuatoriana.
37
1.7.Conclusiones parciales del capítulo.
Las metodologías técnicas del manejo de la herramienta son la base fundamental
para el establecimiento de un proceso a efectuarse en un escenario informático.
La informática forense del departamento de Criminalística de Pichincha se
sustenta en las metodologías y principios técnicos.
Tanto el COIP (Código orgánico Integral Penal), como la Ley de Comercio
electrónico, tipifican normas que están sujetas a ciertos delitos informáticos.
En el COIP (Código Orgánico integral Penal), existen medidas penales
tipificadas para quienes incurran en un delito ocasionado por los sistemas o
herramientas informáticas, sin embargo de ello no resultan tan efectivas en
ciertos casos o escenarios informáticos al no ser tipificados como delito
informático.
38
CAPITULO II
2.1 Caracterización del sector.
El 14 de junio de 1884 se crea la Policía de Orden y Seguridad de la República, y entre
una de sus funciones se le asigna formar sumarios de crímenes y delitos, castigar las
contravenciones relativas a la seguridad y orden públicos y auxiliar al poder judicial en
la práctica de las diligencias necesarias para la pesquisa de los crímenes y delitos; sin
embargo para este último efecto, no fue previsto de ninguna manera el establecimiento
de un ente especializado.
El 15 de junio de 1896, mediante decreto suscrito por el General Eloy Alfaro, se le
otorga a la Policía de Orden Y Seguridad, la facultad necesaria para la investigación de
homicidios y robos, agilitando se esta manera la acción de la justicia.
El 16 de febrero de 1897, a la institución policial se le atribuye, legalmente la facultad
para que pueda efectuar juzgamientos en los casos de robos y homicidios, lo que
auspicia inmediatamente oficinas de investigaciones y pesquisas en los cuerpos de
policía de Quito y Guayaquil, naciendo prácticamente con ello el Servicio de
Investigación Criminal.
Frente al proliferante auge de la delincuencia en todas sus manifestaciones, la
institución careció del apropiado apoyo gubernamental, durante varias décadas sin
recursos humanos calificados, ni la implementación técnica y científica y el
robustecimiento de tan importante campo, desenvolviéndose en un marco
completamente distante del progreso científico en el área de la Criminalística.
Carentes de idoneidad y actitudes para el eficiente cumplimiento de tan especial función
se intenta enmendar por parte del Gobierno del Ing. Federico Páez, el 23 de febrero de
1937, dispone la creación del Servicio de Seguridad Nacional, adscrito al Ministerio de
39
Gobierno, que aglutinó en su seno a las oficinas de Seguridad Pública Identificación y
Dactiloscopia, Inmigración y Extranjería e Investigaciones y Pesquisas, todas ellas
pertenecientes a la Institución Policial; estos servicios ajenos a la institución Policial no
solucionan en absoluto las deficiencias antes descritas y no cumple con las expectativas
ciudadanas, razón por la cual en menos de tres décadas fue desarticulada totalmente,
retornando a manos de la Policía Nacional los servicios de Investigación En 1961,
Seguridad y Migración en el año de 1971.
En 1938, en el gobierno del General Enríquez Gallo, con la creación de la Escuela de
Formación de Carabineros, se da inicio a la profesionalización de la Institución Policial,
formándose desde entonces numerosos promociones de oficiales de policía que
paulatinamente entendieron la necesidad de transformar los procedimientos empíricos
del trabajo policía tradicional por metodología técnica.
El 16 de septiembre de 1946, mediante decreto la Asamblea Nacional expide la creación
del Servicio Médico Legal, y entra a funcionar en enero de 1947, cuyas manifestaciones
dice “ Que la instalación de este servicio es indispensable para el buen ejercicio de la
justicia; y que los defectos y quiebras de ella se debe a la no existencia de
establecimientos de estudios e investigaciones científicas para las pesquisas de
verdaderos delitos y crímenes” además se considera que es deber de los poderes
públicos preocuparse por el buen ejercicio de la justicia en el campo penal.
Las oficinas de Medicina Legal, debieron instalarse en todas las capitales de provincia,
con una Oficina Central en Quito, dependiendo del Ministerio de Gobierno y adscrita a
los cuarteles de Policía; tanto en Quito como en Guayaquil, funcionando con dos
médicos especializados y el personal subalterno indispensable, debiendo la Central de
Quito, contar con laboratorios de toxicología y una sala de necropsias. En los años
subsiguientes para el efecto, fueron adquiridos, equipos completos de autopsias, un
frigorífico tipo morgue, implementos, equipos reactivos y materiales pertinentes;
entrando en funcionamiento el Servicio Médico Legal en la Institución Policial, dándose
los primeros pasos con ello, para posteriormente formar un Laboratorio de Investigación
Criminal, hecho que lamentablemente se vio postergado por muchos años.
A finales de 1960 el Gobierno del Dr. José María Velasco Ibarra, dispuso el retorno del
Servicio de Investigación Criminal a manos de la Policía Civil Nacional; proceso que se
40
operó durante varios meses bajo los auspicios de la División de Seguridad Publica del
Departamento adscrito a la agencia Norteamericana de ayuda para el desarrollo USAID,
bajo el nuevo esquema y siempre con el permanente aporte y asesoramiento técnico del
citado organismo internacional, el 1 de diciembre 1961 se hace entrega a la institución
policial de modernos equipos, instrumentos material específico para la instalación en
Quito de un laboratorio de Investigación Criminal.
Este flamante laboratorio, dependiente del Departamento de Investigación Criminal de
la Comandancia General, inicia sus actividades en las instalaciones del edificio policial
de las calles Cuenca y Mideros, bajo la dirección del Dr. Gonzalo Grijalva Herdoiza,
prestigioso bioquímico, farmacéutico que había completado sus especialización en post
grados en EEUU en el hospital Walter Reed, con el auspicio de la fundación Full Brig,
quien a pesar de las limitaciones existentes ejerció dichas funciones hasta el año de
1982 en que se acogió al retiro, legando sus conocimientos a una nueva generación de
Oficiales que continuarían al frente de tan importante labor.
Es honroso manifestar que varios convenios interinstitucionales mediaron para que su
director realizará numerosos cursos de entrenamiento y actualizaciones en la Scotlan
Year de Inglaterra, giras de observación y pasantías en EEUU, Francia, Bélgica, Japón y
otros países, con el objeto de mejorar los procedimientos de nuestros laboratorios y su
limitada tecnología; El funcionamiento y equipamiento corrió a cargo de los fondos del
estado y especialmente del Programa para América Latina (Alianza para el Progreso).
Uno de los benefactores de los laboratorios policiales fue la Universidad Central del
Ecuador, que gracias a su establecimiento le fue posible crear en su campus la cátedra
de toxicología en la facultada de Bioquímica y Farmacia que entregó a dicho censista la
responsabilidad de ella, posibilitando a su vez el marco de colaboración
Interinstitucional, gracias a cuyos laboratorios, se trabajó pericialmente en los diversos
campos de la toxicología forense.
En noviembre de 1964, al laboratorio de Investigación Criminal, se le asigna el nombre
de “Laboratorio de Investigación Criminal” y, en febrero de 1975, la nueva
denominación de “Laboratorio Central Y Peritajes” con cuya identidad continuó
funcionando en su tradicional local hasta el 18 de mayo de 1984, en la actividad pericial
de toxicología, análisis de drogas, balística, documentólogia y dactiloscopia, siendo
trasladado en esa fecha al edificio Policial de las calles Ritter y las Casas, siendo
41
limitada su estructura, equipos, medios y recursos humanos especializados, pues solo
contaba con un microscopio monocular de comparación balística, una centrifuga, un
equipo revelador de fotografías, un esterilizador y unos cuantos reactivos de uso
indispensable.
Conforme a las exigencias judiciales de la época, su trabajo estuvo orientado a las
actividades periciales de toxicología, doumentología, balística, papiloscopía y biología
humana, concordando con el perfil del Director, contó con equipamiento básico como:
equipo de fotografía, microscopios, kit de identificación humana, reactivos para
toxicología, microscopio comparador balístico monocular y equipo accesorios, equipo
sanitario indispensable, todo el cual era de nivel básico y correspondía a la tecnología
difundida por el programa Alianza para el Progreso.
En el año de 1982, en que se acogió al retiro el Dr. Gonzalo Grijalva Herdoiza, a
requerimiento expreso del Comando General, continua prestando su contingente como
director de los laboratorios forenses en calidad de profesional contratado, hasta el
retorno del señor Capitán de Policía Marco Damián Cuesta Zapata, quien había salido
becado por la Institución Policial a la República Federal de Argentina; a fin de alcanzar
la licenciatura en Criminalística, a partir de este hecho motivo el retiro definitivo de su
primer director, sosteniéndose así una ininterrumpida línea de mando con oficiales de
línea de la institución policial, con formación universitaria en centros superiores; y, la
innovación de nueva tecnología en las diferentes áreas técnico científicas, alcanzado así
un eficiente crecimiento en pro de la institucionalidad del derecho y la sociedad.
En el año de 1985, gracias a la colaboración de la Dirección Nacional de Tránsito, que
había instalado en el mismo recinto las secciones de alcoholemia y de investigaciones
de Accidentes de tránsito, el laboratorio recibió notable impulso en su equipamiento
técnico con la incorporación de un espectrofotómetro, un cromatógrafo de gases y un
suficiente stock de reactivos químicos, a la par fueron incorporados personal técnico y
especializado y su radio de acción fue a la planimetría y la fotografía.
En el periodo de 1990 a 1992 el Laboratorio Central de Peritajes se traslada a las
instalaciones del Departamento Médico Legal, donde conjuntamente comparten las
instalaciones por el lapso de 10 años aproximadamente la actividad técnica científica,
bajo premisas entrañables de ser ciencias forenses.
42
En el año de 1994, asume la dirección del Laboratorio Central y Peritajes el señor
Mayor de Policía Lic. Carlos R. Echeverría Benítez, PFA en reemplazo del señor
TCnel. Lic. Damián Cuesta Zapata, quien presenta su disponibilidad en las filas
policiales, dentro de esta etapa se incrementa tecnología y recursos humanos valiosos
como son diez Señores Oficiales de línea becarios en Argentina y graduados en
Criminalística, cada uno de ellos asume las funciones Jefes de área como es Balística,
Documentología, Identidad Humana, es por ello que el Señor Director de ese entonces
busca perfiles de profesional/es, quienes auspiciados por la Institución, son enviados al
exterior; obteniendo así valiosos conocimientos para el funcionamiento de esta sección,
no debemos dejar de lado el profesionalismo demostrado por los señores: Fotógrafo
Forense y Planimetrista Forense, quienes hasta la presente han sido soportes
invalorables del área forense.
En el año de 1996, al contar con personal de señores oficiales con el conocimiento
Técnico, el Mando Institucional dispone la apertura en la ciudad de Guayaquil del
Laboratorio Central y Peritajes de Criminalística teniendo una alta demanda en el
ámbito civil y penal.
En el mes de Enero de 1996, el Mando Institucional dispone al Señor Coronel de Policía
de E.M. Rodrigo Valladares Silva, que se conforme un equipo de veinte personas con
conocimientos básicos en áreas técnicas de Criminalística, concurriendo Oficiales y
personal con tecnología adquirida en Colombia y otros países, al mando del señor
Mayor de Policía Tecnólogo en Criminalística Rafael Yépez Cadena, a fin de que
recibieran capacitación como Técnicos en Escena del Crimen, en Dactiloscópica, en
Identidad Humana y Fotografía y Registro, por parte de la SCTIP de Francia
encabezado por el señor Coronel Mishel Orth agregado de Policía Científica en el
Ecuador y más profesionales dentro del área legal, iniciándose de esta manera el
Servicio de Inspección Ocular Técnica en la ciudad de Quito, funcionando así el mes de
julio de 1996; posterior se inicia dos cursos más de Técnicos y seguidamente en el año
de 1997 en el mes de Julio, arranca el funcionamiento en la ciudad de Guayaquil.
En el mes de agosto del año 2014 el Ministerio del Interior inagura las modernas
instalaciones del Centro de Criminalística y las Ciencias Forenses en la Ciudad de Quito
como eje Central de la Policía Técnica Científica comprendido con una nueva estructura
43
que permitirá Apoyar científicamente a la lucha frontal y transparente contra la
violencia criminal y la impunidad.
Este laboratorio es una de las infraestructuras más importantes tal vez no solo de la
regio si no de América Latina, con el propósito de mejorar la seguridad del proceso de
justicia penal en lo que compete a la eficiencia investigativa y la certeza legal con un
mejor uso de evidencia física. Por lo que este laboratorio es una herramienta
fundamental a fin de evitar subjetividad por los servidores policiales como civiles en los
informes periciales. Nos solo la Policía Nacional se beneficia de la infraestructura
moderna si no que las familias ecuatorianas, estudiantes de derecho, profesionales entre
otros, por lo que se dispone de una herramienta científica eficaz para tener mayor
acceso a la justicia, pasando a ser parte de fortalecimiento de la gestión pericial que
busca coordinar de manera coherente y eficaz el trabajo con los operadores de justicia.
Este nuevo laboratorio cuenta con tecnología de punta y seguridad especial desde el
ingreso a sus 7 plantas. Están divididas en áreas como: inspección ocular técnica;
fotografía pericial; fotografía balística; AFIS (Sistema Automatizado de Identificación
Dactilar); AVIS (Sistema Automatizado de Identificación Biométrica por Voz); IBIS
(Sistema Integrado de Identificación Balística), Química Forense; Toxicología Forense;
Antropología Forense; ADN; Informática Forense, Audio, Video y Afines, Análisis de
Marcas Seriales (Revenidos Químicos), Documentologia, entre otras. Donde laboran
alrededor de 150 peritos técnicos y personal civil contratado para cubrir áreas de
especialización, como los laboratorios de ADN y análisis de muestras químicas.
El proyecto de creación del edificio de Criminalística se concretó a partir del 2008,
gracias al apoyo del Gobierno Nacional Eco. Rafael Correa Delgado. En la planificación
se destaca la preparación del personal policial capacitado con el que se cuenta para
operar cada una de las modernas tecnologías que dinamicen el trabajo técnico-científico,
reduciendo los tiempos de respuesta y aumentando la calidad y objetividad de los
análisis en materia judicial.
Áreas Investigativas. (SIAT) Esta sección realiza el levantamiento planimétrico del
accidente ocurrido y permite recoger indicios con equipos digitales y escaners en 3D.
Reconstruye escenas de accidentes para las audiencias que solicitan autoridades
judiciales. Tiene un sistema avanzado de Inspección Ocular Técnica (IOT) para
44
determinar claramente los momentos críticos de un accidente de tránsito, quienes
tuvieron la culpa y reconstrucción de los hechos. Con ello los informes técnicos
científicos son inmediatos, se gana tiempo y se evitan errores humanos. El envío de
informes se efectúa por correo electrónico a Fiscalía.
Sección de Balística Área especializada para la investigación y recuperación de balas y
vainas. Tiene áreas que cumplen con normas de seguridad que mejoran procesos.
Cuentan con microscopio electrónico de barrido que analiza residuos de disparo,
elimina pruebas inexactas, amplía análisis de barrido electrónico para sustancias
orgánicas, análisis de vidrios, pinturas, suelos.
Efectúa pruebas confiables para determinar al o los autores de disparos en las escenas de
un delito que se haya cometido e identificar al autor del disparo. Existe una correcta
preservación de los registros de control de armas de fuego y de balas y vainas de armas
a personal de seguridad con su respectivo reconocimiento biométrico para establecer
identidad de quienes tienen bajo su responsabilidad estas armas y balas.
Unificación de los sistemas biométricos y automatizados en un solo registro para
control de personal y empresas de seguridad. Mantenimiento de un registro completo de
armas a nivel nacional y de estado (Policía Nacional y Fuerzas Armadas).
Cuenta con un Centro de Acopio donde se trasladan todos los indicios bajo cadena de
custodia. Es un Sistema automatizado de gestión de evidencias con el uso de
microchips. Este depósito organiza evidencias y tiene bajo su responsabilidad la cadena
de custodia automática en las secciones técnicas con el uso de arcos sensores. Con este
protocolo de control de la cadena de custodia, se elimina el error humano, se da
agilidad en la localización de evidencia y traslado de evidencias.
Identificación de armas de fuego utilizadas en un hecho delictivo .Identificación de
personas en la base de datos para resolución de casos. Microscopio de comparación
balística entre 2 balas recuperadas. Mejoramiento de imágenes e ilustración para
presentar en audiencias judiciales. Incremento de personal capacitado y especializado en
Balística. Agilidad y eficiencia en la identificación de armas de fuego y resolución de
casos.
45
La sección de Audio y Video que trabaja en el cotejamiento de voces con un sistema
biométrico bimodal, esto es de tipo facial y de voces. Incremento de posibilidades para
identificar la voz humana con sistemas automatizados de bases de datos de fotografías y
muestras de voz.
Permite identificar a las personas con base en técnicas antropológicas, cadáveres en
putrefacción, osamentas quemadas y restos humanos. Este proceso denominado de
identidad necrodactilia, toma de huellas posterior a la muerte de la persona, de pulpejos
(dedos momificados), estimación de la edad estatura, sexo, peso, condición social, tipo
de etnia, tipo de osamentas, restos fósiles y determinar la causa de la muerte.
Exhumación de cadáveres para cotejamiento biológico de ADN. Regeneración de dedos
para necrodactilia.
Valoración de lesiones causadas por profesionales, determinación de la edad biológica
en menores infractores en base a técnicas de densitometría ósea y cronología de la
erupción dental.
Este proceso permite identificar a personas, bajar el índice de cadáveres NN y el nivel
de impunidad, determinando causa de la muerte. Con ello se contribuye a la
administración de justicia y se repara un daño a familias o a la sociedad. Trabaja en
identificación de personas a través de huellas y rastros, con respuestas en tiempo real a
nivel nacional.
La Sección de Toxicología realiza análisis de evidencias encontradas y determina qué
sustancia química es. Analiza tipos de drogas, venenos y sustancias no identificadas en
mínimas cantidades. Está equipada con Cromatógrafos de gases que permite identificar
sustancias tóxicas en el organismo de una persona. También brindará servicios del
laboratorio para la identificación de sustancias en sangre, orina o tejidos, apoyando de
esta manera a los procesos técnico científicos de las diferentes secciones.
La sección de Genética y Biología Molecular toma muestras bucales, recepta indicios,
extrae ADN para analizar el perfil genético. Se implementó del laboratorio de ADN
que posibilita la identificación de personas con muestras reducidas de cabellos, semen,
sangre, restos de tejido y reforzando el trabajo de las unidades de Medicina legal,
Antropología, Identidad Humana y otros.
46
Esta sección se encarga del análisis, estudio de los datos e información procesados sobre
infraestructuras tecnológicas, cuenta con personal altamente profesional cuales son
encargados del tratamiento de la evidencia digital. Esta sección fue creada con la
finalidad contrarrestar el crimen cibernético de las redes sociales, equipos
computaciones, bases de datos, dispositivos móviles entres otros incidentes ocasionados
por el poder informático.
El 13 de enero del 2000, en el libro cuarto, título I, capítulo I, Art. 207 al 214, determina
en forma clara las funciones que debe desempeñar la Policía Judicial como Órgano
auxiliar del Ministerio Publico y de la Administración de Justicia.
Que el Reglamento de la Policía Judicial, expedido mediante decreto ejecutivo Nro.
3585, publicado en el Registro Oficial Nro. 995 del 7 de agosto de 1992, no se
encuentra acorde a la normativa vigente, por tal motivo se publica el Reglamento de la
Policía Judicial en el registro Oficial Nro. 368 del viernes 13 de julio del 2001.
De acuerdo al Art. 18 del reglamento dice “la Dirección Nacional de Policía Judicial
para su funcionamiento contará con los siguientes niveles” Directivo, asesor, de Apoyo
y, Operativo en este se encuentra tipificado en el Art. 44, el Nivel Operativo está
integrado por la subdirección de investigaciones de la Policía Judicial, la
SUBDIRECCIÓN TÉCNICO CIENTÍFICA y la Oficina Central Nacional de
INTERPOL.
En tal virtud, en el año 2000, mes de septiembre, la Dirección Nacional de
Investigaciones, le es asignada el nombre de Dirección Nacional de Policía Judicial e
Investigaciones de acuerdo al reglamento y al nuevo Código de Procedimiento Penal.
En las instalaciones de la calle Calama y Reina Victoria funciona por primera vez la
Subdirección Técnico Científica que está integrada por los niveles Directivo, Asesor de
Apoyo y Operativo.
De acuerdo al Art. 60 del Reglamento de la Policía Judicial, dice La Subdirección
Técnico Científica, estará al mando de un oficial Superior de Policía de E.M. en servicio
activo, con formación académica en Criminalística, Criminología o Ciencias Forenses;
la Subdirección contará con los siguientes Departamentos: Criminalística, Medicina
Legal y Archivo Central Nacional, siendo remplazado su nombre de Laboratorio Central
47
de Peritajes a Departamento de Criminalística con sus diferentes áreas forenses, además
incorporándose el Servicio de Inspección Ocular Técnica al ya citado Departamento.
Concordantemente y a la par se construyen varias edificaciones donde funcionarán las
diferentes áreas técnicas y en el mes de julio del año 2001, se traslada la Subdirección
Técnico Científica hasta la Av. Mariana de Jesús y Mariscal Sucre, con la finalidad de
asesorar y mantener un eficiente manejo de las actividades periciales en el aspecto
técnico científico y legal, para un aporte optimo en la etapa pre procesal y procesal
dentro de la indagación previa y la instrucción fiscal dispuesta en el nuevo Código de
procedimiento penal.
La Subdirección Técnico Científica en el transcurso de todos estos años ha
experimentado el paso de varios Subdirectores Técnicos Científicos, actualmente se ha
retomado la funcionalidad conformando un nuevo equipo asesor, quienes en esta última
etapa permanentemente han desplegado esfuerzos, para el mejoramiento en tecnología,
en recursos humanos acordes a las exigencias de las nuevas modalidades de delitos que
se presentan en la comunidad y coadyuvar de madera loable a las demandas en el
ámbito penal.
Es necesario escribir en estas páginas de la historia de la Policía Científica en el
Ecuador, la creación de cuatro Departamentos de Criminalística en los Cuatro Distritos
y seis Unidades de Apoyo Criminalística con las áreas básicas como es Inspección
Ocular Técnica, documentología, balística descriptiva, Identificación de Grabados y
Marca Seriales y Archivo y Registro de Detenidos, al mando de prestigiosos oficiales de
la especialidad Criminalística.
Es meritorio manifestar que la Subdirección Técnica Científica, cuenta con recursos
humanos de primera línea en el conocimiento Técnico Científico, capacitados en la
República Federal de Argentina, Chile, Perú, Colombia, Costa Rica, Estados Unidos de
Norte América, España, Alemania, Francia y Ecuador, dentro de las áreas de química
pura, química y farmacia , ingeniería, medicina legal, juristas, Tecnólogos, Técnicos y
peritos en diversas especialidades forenses, que han sido calificados bajo normas y
parámetros internacionales como óptimos; con vastos conocimientos y experiencias lo
cual ha generado un sostenido e ininterrumpido crecimiento Criminalístico, gracias a las
fuertes inversiones que ha realizado la Institución Policial, así como a la asistencia
internacional donde los Programas de las Naciones Unidas con mayor énfasis en
48
casuísticas de delitos de narcotráfico, ha sido la base del actual desarrollo, especial
mención merece la participación del Gobierno Francés a través del SCTIP, en la
accesoria ofrecida en forma permanente y el aporte consustancial de equipo y logística,
que paulatinamente han completado nuestros requerimientos básicos.
Así seguimos construyendo la Policía Técnica Científica del futuro con sólidos y
constantes argumentos, convencidos de que en los tiempos actuales solo será la ciencia
independizada de toda manipulación; la única garantía de una nueva administración de
justicia y por tanto los laboratorios forenses, como sitios de excelencia para la
producción de las pruebas judiciales serán los que satisfagan la necesidad de un
tratamiento óptimo de los indicios para dar claridad a las investigaciones y servir de
guía al Ministerio Publico, a los Juzgados y Tribunales Penales para que sean estos sus
cimientos inconmovibles de la verdad.
2.1.Modalidad de la investigación.
2.1.1. FASES DE LA INFORMÁTICA.
Figura 16. Fases de la Investigación Digital; Fuente: Milton Jaque.
El Departamento de Criminalística de la Policía Judicial, con sedes en Quito y
Guayaquil con la sección de “Informática Forense” como se ha denominado esta área
técnica, ante el manejo de evidencias digitales sobre un crimen o delito informático
perpetrado, ha venido actuando con el debido tratamiento como cualquier otro proceso
EVIDENCIA
ADQUIRIR Y
PRESERVAR
IDENTIFICA
R
PRESENTAR
ANALIZAR
INFORME
PERICIAL
49
criminal (asesinato, homicidio, robo simple, explotación sexual, pornografía infantil,
entre otros), cumpliendo uno de los principios de la ciencia criminalística en asegurar la
escena del delito o crimen (escenario informático), restringiendo el acceso a la misma
para no modificar o alterar la evidencia. Por lo que el o los peritos informáticos de
Criminalística deberán poseer plenos conocimientos sobre la metodología del
levantamiento de indicio digital y electrónico procesado por un equipo tecnológico.
Mediante el protocolo informático forense como un principio o norma internacional que
regula el manejo de evidencia digital, que ha sido aplicado por los países
sudamericanos, el Departamento de Criminalística de Pichincha, ha regularizado la
metodología digital permitiendo dar el tratamiento correcto al mismo, cual establece en:
Identificar la evidencia.
Adquirir la evidencia.
Preservar la evidencia.
Analizar la evidencia recolectada.
Presentación de los resultados o informe pericial.
2.1.2. La identificación de la evidencia digital
Identificar la evidencia digital representa una tarea caracterizada por distintos aspectos
entre ellos podemos mencionar el factor humano que está compuesto por agentes
investigativos de Unidades Especiales de la Policía Nacional que realiza los secuestros
o la incautación de material informático según tipo de delito. En muchos casos, la
identificación y recolección de potencial evidencia digital es realizada por personal que
no cuenta con los conocimientos adecuados para llevar a cabo las tareas en cuestión (por
ejemplo un allanamiento policial). (Domínguez, F. L. (2013). Introducción Informática
Forense. Colombia: Primera).
La omisión de algunos aspectos técnicos puede llevar a la perdida de datos probatorios
o a la imposibilidad de analizar cierta información digital a modo de ejemplo podemos
mencionar el secuestro o incautación de terminales y/o equipos informáticos durante un
allanamiento omitiendo traer el servidor local, discos duros; o apagar las computadoras
eliminando la posibilidad de realizar un análisis sobre ciertos elementos volátiles
(registros, procesos, memoria, estado de la red). (Domínguez, F. L. (2014). Introducción
50
IDENTIFICAR
Informática Forense. Colombia: Primera). Por otra parte el desconocimiento puede
llevar a que se causen perjuicios innecesarios a la persona/entidad investigada, como un
secuestro masivo de equipamiento informático o de material irrelevante para la
investigación; otro aspecto crítico relativo a la identificación de la evidencia digital se
refiere a la correcta rotulación y detalle de los elementos informáticos. Sucede con
frecuencia que durante un procedimiento judicial no se etiquetan todos los elementos
secuestrados si no se toman ciertos recaudos durante el allanamiento, el faltante de
algún elemento puede retrasar o impedir la realización de la investigación. Así mismo,
debe presentarse todo el material informático que sea susceptible de ser abierto o
alterado, pasar por alto este punto posibilita reclamos por faltantes una vez devuelto el
material secuestrado o incautado.
Personal capacitado
Conocimientos técnicos imprescindibles.
Rotular correctamente.
Garantizar la inviolabilidad.
Figura 17. Elementos para la Identificación de la Evidencia, Fuente: Domínguez, F. L. (2014). Introducción
Informática Forense. Colombia: Primera.
2.1.3. Adquisición y preservación del equipo informático.
Extraer y Preservar el material informático durante los secuestros o incautaciones
implica considerar la fragilidad de los medios de almacenamiento de datos y la
volatilidad de la información sobre este aspecto cabe destacar que existe una gran
falencia en lo que se conoce como “Cadena de Custodia”, cuyo objetivo consiste en
mantener el registro de todas las operaciones que se realizan sobre la evidencia digital
en cada uno de los pasos de investigación detallados. Si al realizar un análisis de datos
se detecta que la información original ha sido alterada, la evidencia pierde su valor
probatorio en un litigio penal.
Las cuestiones inherentes al transporte de la evidencia digital no son menos importantes
es común que los elementos informáticos a periciar lleguen sin los más mínimos
resguardos usualmente, el secuestro o incautación de material informático tiene un
tratamiento muy similar al de otros elementos como: armas, papeles contables, huellas
latentes o dactilares, fluidos corporales etc. y no se le da el cuidado que realmente
51
ADQUIRIR Y
PRESERVAR
merece, pudiendo algún golpe ocasionar roturas en el equipamiento informático debe
considerarse además que la información digital es sensible a la temperatura, y en
algunos casos a los campos electromagnéticos.
Por último, preservar implica los aspectos técnicos relativos a la no alteración
(integridad) de la evidencia original, la utilización de algún software que genere un
valor hash a partir de un conjunto de datos es de gran ayuda, existen diferentes
algoritmos para calcular un checksum criptográfico seguro o valor resumen hash (SHA-
1, MD5), estos algoritmos son muy utilizados por las herramientas forenses a fin de
garantizar el contenido digital.
Para realizar copias de la evidencia original debe usarse algún software o hardware
forense que realice una imagen a nivel de bit-bit y no una simple copia de archivos, en
la que se pierde información que puede ser usada como potencial evidencia. Así mismo,
debe quedar claro que aunque por principio general se debe trabajar sobre imágenes de
la evidencia original, sólo el perito podrá determinar cuándo debe o no aplicarse este
tipo de medida.
En muchos casos resulta impracticable realizar copias de la evidencia original por
impedimentos técnicos u otras razones de tiempo y lugar. En estos casos se deberán
extremar las precauciones durante la investigación, siempre aplicando técnicas de
análisis de datos no-invasivas y utilizando todas las herramientas forenses que estén al
alcance, a fin de no alterar la evidencia digital.
Extraer evidencia de los dispositivos
Almacenamiento de datos y su volatilidad.
Cumplimiento de la “Cadena de Custodia”.
Transporte de evidencia.
Garantizar la integridad de los datos (Hash)
Figura 18 Elementos para la Preservación de la Evidencia Digital, Fuente: Domínguez, F. L. (2014). Introducción
Informática Forense. Colombia: Primera.
2.1.4. El análisis de datos.
52
Analizar involucra aquellas tareas referidas a extraer evidencia digital de los
dispositivos de almacenamiento como discos duros entre otros. Una de las claves a la
hora de analizar es la localización de información específica vinculada con una
determinada causa el objeto pericial o tipo de delito. La experiencia demuestra que en
muchos casos, el análisis de datos requerirá un trabajo interdisciplinario entre el perito y
el operador judicial -juez, fiscal- que lleve la causa, a fin de determinar aquellas
palabras clave keywords “búsquedas” que son de interés para la investigación en casi la
totalidad de los casos el análisis de datos se realiza sobre sistemas operativos Windows.
En el primero de ellos, se debe profundizar en aspectos técnicos del sistema de archivos
NTFS, ya que es utilizado por las últimas versiones. NTFS almacena atributos de
archivos y directorios en un archivo del sistema llamado MFT (Master File Table) y
escribe los datos en espacios llamados clusters. Los atributos de mayor interés para el
investigador forense son: el nombre del archivo, MAC Times (fecha y hora de la última
Modificación, Acceso o Cambio de un archivo) y los datos (si el archivo es
suficientemente pequeño) o la ubicación de los datos en el disco. Así mismo, el archivo
utilizado como memoria virtual del sistema operativo (Swap file), el espacio libre que
puede quedar entre un archivo y el cluster en el cual reside (Slack space), la papelera de
reciclaje (Recycle bin), clusters que contienen parte que los archivos borrados
(Unallocatable space), los accesos directos, los archivos temporarios y los de Internet,
son algunos de los elementos sobre los que se realiza habitualmente el análisis de datos,
por otro lado un examen del registro de Windows permite conocer el hardware y
software instalado en un determinado equipo.
Existen modos de Análisis para la Informática Forense, estos son:
Análisis post-mortem: Se realiza con el equipo dedicado específicamente para
fines forenses (servidor forense- FREDD) para examinar discos duros, datos o
cualquier tipo de información recabada de un sistema informático que ha sufrido
un incidente en este caso, las herramientas de las que se puede disponer dentro
del laboratorio de Informática Forense del Departamento de Criminalística de
Pichincha destinado al análisis de discos duros, archivos de logs de firewalls,
operatividad del SO, Cookies, temporales, entre otros.
53
ANALIZAR
Figura 20 Elementos para el Informe Pericial, Fuente: Domínguez, F. L. (2014). Introducción Informática
Forense. Colombia: Primera
Análisis en caliente: Se lleva a cabo cuando un sistema se presume que ha
sufrido un incidente o está sufriendo un incidente de seguridad, robo de
información, hackeo, asistencia remota entre otros, en este caso se debe emplear
un CD o un dispositivo externo con las herramientas de Respuesta ante
Incidentes y Análisis Forense compiladas de forma que no realicen
modificaciones o alteraciones en el sistema informático, y permita preservar la
evidencia una vez hecho este análisis en caliente, y confirmado el incidente, se
realiza el análisis post-mortem, en el laboratorio de Criminalística sección de
“Informática Forense”
Objeto pericial
Localización de la información.
Determinar las palabras claves.
Distintos sistemas operativos.
Figura 19 Elementos para Análisis de la Evidencia Digital, Fuente: Domínguez, F. L. (2014). Introducción
Informática Forense. Colombia: Primera.
2.1.5. Presentación del informe pericial informático.
Presentar consiste en elaborar un informe técnico pericial informático forense con los
resultados obtenidos en las etapas anteriores para esto podemos detallar en el literal;
Autentificacion De material informatico
Descripción detallada de todas las fuentes de
información utilizadas
Pasos realizados durante la investigación.
En caso de utilizar herramientas detallar nombre y
versión.
Conclusiones de cada uno de los puntos de la pericia
realizada, indicando cualquier observación o
impedimento en la búsqueda de la evidencia.
Para
concretar una investigación forense es pertinente conocer ciertos aspectos como:
54
• Conocer las condiciones bajo los cuales la evidencia digital será considerado
como:
• Admisible.
• Autentica.
• Completa.
• Confiable.
• Creíble.
• Conocer el procedimiento para llevar a cabo una investigación forense
teniendo en cuenta parámetros legales donde se lleve a cabo.
2.2.Tipos de investigación
2.2.1. Aspectos Técnicos
2.3.1.1 Fases de un Análisis Forense Digital.
Según expertos en análisis Forense de sistemas informáticos Helena Rifa Pous; Jordi
Sierra Ruiz y José Luis Rivas López, manifiestan que es un conjunto de principios y
técnicas que comprende el proceso de adquisición, preservación, documentación,
análisis y presentación de los resultados obtenidos que pueden ser aceptadas legalmente
en un proceso judicial.
Este análisis se dará por concluido cuando se conozca o se produjo el ataque, quien o
quienes lo llevaron a cabo, bajo qué circunstancias se realizó, cuál era el objetivo del
atacante que daños causaron entre otros aspectos a ser considerados tácitamente como
potenciales.
Antes de realizar un análisis se debe tomar en cuenta la siguiente información:
2.3.1.2 Identificación del incidente: búsqueda y recopilación de evidencias.
Una de las primeras fases del análisis forense digital comprende el proceso de
identificación del incidente, que lleva con la búsqueda y recopilación de evidencias o
rastros digitales electrónicos, antes de comenzar una búsqueda minuciosa de señales del
55
incidente, se deberá tomar en consideración las precauciones de manejo que no conlleve
a una eliminación de “rastros”, por lo que se actúe de forma metódica y profesional.
(Rifa Puos, Helena; Sierra Ruiz, Jordi; Rivas Lopez, Jose Luis;. (2014). Analisis
Forenses de Sistemas Informaticos. Catalunya: Primera).
2.3.1.3 Descubrir las señales del ataque o el tipo de delito.
Para iniciar una primera investigación del equipo informático o dispositivo electrónico
deberá tener en mente la premisa de que debe fijar de forma digital (Screenshots) y
conservar la evidencia; no haga nada que pueda modificarla, por lo que se deberá
utilizar herramientas que no cambien la operatividad del sistema de información y los
metadatos de los ficheros, o provoquen modificaciones en los mismos, a su vez que no
se suprima ningún tipo de rastro o registro.
Un indicio importante es que si no hay certeza de que las aplicaciones y utilidades de
seguridad que incorpora el Sistema Operativo, o las que se hayan instalado se
mantienen intactas deberemos utilizar otras alternativas como técnicas o herramientas
dedicadas, por lo que se debe pensar que en muchos casos los diferentes atacantes o
tipos de delitos a ser considerado dispondrán de instrumentos capaces de modificar o
alterar la información que el administrador verá tras la ejecución de ciertos comandos,
por ejemplo podrán ocultarse procesos o puertos TCP/UDP en uso. Cuestione siempre
la información que le proporcionen las aplicaciones instaladas en un sistema que crea
delicado. (Rifa Puos, Helena; Sierra Ruiz, Jordi; Rivas López, José Luis;. (2014).
Análisis Forenses de Sistemas Informáticos. Catalunya: Primera).
2.3.1.4 Recopilación de evidencias.
Si está seguro de que sus sistemas informáticos han sido atacados o en su defecto oculta
algún tipo de información considerada en las investigaciones, se deberá evaluar y
decidir cuál es su prioridad a ser adquirido y preservado:
• Tener nuevamente operativos sus sistemas de manera rápida y efectiva.
• Realizar una investigación forense detallada de rastros digitales sobre la
memoria volátil.
• Consumar el volcado de datos e información temporal.
56
Especule que la primera reacción de la mayoría de los administradores de los sistemas
de información será la de intentar devolver el sistema a su estado inicial o normal
cuanto antes, pero esta actitud sólo hará que pierda casi todas las evidencias o indicios
digitales que los usuarios o atacantes hayan producido y podido dejar en el escenario
informático “la escena del crimen”, eliminando la posibilidad de realizar un análisis
forense de lo ocurrido que le permita contestar a las preguntas de ¿qué?, ¿cómo?,
¿quién?, ¿de dónde? y ¿cuándo? se comprometió el sistema o si existen archivos
ocultos, e impidiendo incluso llevar a cabo acciones legales posteriores.
Documentar detalladamente todas las operaciones o procesos que realice sobre los
sistemas informáticos comprometidos, no escatimar en la recopilación de datos donde
se realizara una inspección total del entorno y escenario informático, fijando todos los
elementos o indicios informáticos con fotografías de conjunto y detalle, cualquier
evidencia puede ser definitivo. Durante la recolocación y levantamientos de equipos,
huellas digitales deberá estar presente a más de los agentes investigadores, peritos entre
otros la autoridad competente en este caso el Señor Fiscal conocedor de la parte
investigativa o Fiscal de turno; recuerde que es uno de los pasos como requisitos
legales para que una evidencia electrónica o digital pase a ser considerada como prueba
en la etapa de juicio. (Rifa Puos, Helena; Sierra Ruiz, Jordi; Rivas López, José Luis;.
(2014). Análisis Forenses de Sistemas Informáticos. Catalunya: Primera.)
2.3.1.5 Preservación de la evidencia.
Los servidores policiales que han llevado a cabo la investigación, recopilación de datos,
como evidencias sobre el incidente dentro del escenario “escena del crimen”,
individualizando los equipos y dispositivos tecnológicos pasando a la conservación,
preservación (documentado de manera clara como han sido preservados la evidencia
tras la recopilación), embalado, rotulado y etiquetado, que serán remitidos al Centro de
Acopio del Departamento de Criminalística de Pichincha.
Como primer paso cumpliendo la normativa internacional del protocolo informático
forense deberá realizar dos copias de las evidencias obtenidas, generando una suma de
comprobación de la integridad de cada copia mediante el empleo de funciones hash
tales como MD5 y SHA1. Incluya estas firmas en la etiqueta de cada copia de la
evidencia esto sea medios de almacenamiento magnético (disco duro) o sobre el propio
57
CD o DVD, que hayan sido exportados los datos e incluya también en el etiquetado la
fecha y hora de creación de la copia, nombre a cada copia, por ejemplo “COPIA 1
PC_01”, “COPIA 2 PC_02” para distinguirlas claramente del elemento original.
Otro aspecto a tener en cuenta, es el proceso que se conoce como la cadena de
custodia, un procedimiento que está tipificado en el COIP, Código Integral Penal Art.
456, donde se establecen las responsabilidades y controles de cada una de las
personas que manipulen la evidencia en este documento se registraran los datos
personales de todos los implicados en el proceso de manipulación de las copias y
equipos informáticos, desde que se tomaron hasta su almacenamiento de llegar a la
etapa de juicio habrán cumplido con todos los parámetros y principios legales.
2.3.1.6 Análisis de la evidencia.
Inicialmente para el cumplimiento de esta fase la autoridad competente en este caso el
Fiscal ordenara mediante delegación fiscal la experticia informática de las evidencias
digitales recopiladas y almacenadas de forma adecuada, en el Análisis Forense
reconstruirá con todos los datos disponibles la línea temporal del ataque o timeline,
determinando la cadena de acontecimientos que tuvieron lugar desde el instante hasta
anterior al inicio del ataque, llegando al momento de su descubrimiento.
Este análisis se dará por concluido cuando conozcamos cómo se produjo el incidente,
manipulación, alteración, eliminación, quién o quienes lo llevaron a cabo, bajo qué
circunstancias se produjo, cuál era el objetivo del incidente, qué daños causaron, entre
otros. (Acurio Del Pino, S. (2012). Derecho Informático. Quito: Primera).
2.3.1.7 Preparación para el análisis-El entorno de trabajo.
El Departamento de Criminalística de la Policía Judicial cuenta con una sección llamada
“Informática forense”, que comprende en un laboratorio técnico científico analítico, con
las herramientas tanto en Hardware, Software, kits con dispositivos contra escritura
(evita la contaminación de la evidencia digital), duplicadores forenses, entre otros por
mencionar.
58
Antes de comenzar el análisis de las evidencias deberá acondicionar un entorno de
trabajo adecuado al estudio que desee o va ser ejecutados, antes de manipular las
evidencias físicas como medida de bioseguridad externa es recomendable utilizar todos
los agentes de protección entre lo más importante guantes de látex para evitar fricciones
directas de electro estáticas que puedan ocasionar graves daños irreparables. Además es
aconsejable no tocar los discos duros originales y trabajar con las imágenes forenses que
se recopiló como evidencias en los diferentes procesos técnicos, o mejor aún con una
copia de la copia de éstas, tenga en cuenta que necesitará montar esas imágenes tal
cual estaban en el sistema informático comprometido. (Pazmiño Montaluisa, M. A.
(25 de 01 de 2017). Informática Forense, Laboratorio Criminalística Quito. (M. Jaque,
Entrevistador).
2.3.1.8 Determinación de cómo se realizó el incidente.
Una vez que disponga de la cadena de acontecimientos que se han generado, deberá
determinar cuál fue la vía de entrada a su sistema, averiguando qué vulnerabilidad o
fallo de administración causó y que herramientas utilizó el atacante para aprovecharse
de tal brecha para su objetivo.
Estos datos, deberá obtenerlos de forma metódica, empleando una combinación de
consultas a archivos de logs de auditoría generados por las aplicaciones o cualquier otro
agente, registro, claves, cookies, archivos temporales, cuentas de usuarios, etc. (Salamea
Carpio, D. (2012). El Delito Informático. Quito: Primera).
2.3.1.9 Análisis de la evidencia, identificación del autor o autores del incidente
producidos por ataques a clientes.
La identificación de los posibles incidentes será de exclusiva importancia que se hará
constar de manera metódica todos los procesos efectuados, que se pondrán en
consideración mediante un peritaje informático a fin de que el Fiscal tenga todos los
elementos necesarios para levantar una Instrucción Fiscal y lleve a los tribunales los
elementos recabados en la investigación y tenga repercusiones legales a futuro.
(Salamea Carpio, D. (2012). El Delito Informático. Quito: Primera).
59
2.3.1.10 Documentación del incidente
Una vez concluido el análisis del incidente, necesitará tener preparados dos tipos de
informes de manera que al presentar estos documentos (peritajes informáticos) sea de
manera entendible para las personas encargadas de administrar justicia los tipos de
informes serán el uno Técnico y otro Ejecutivo. (Salamea Carpio, D. (2012). El Delito
Informático. Quito: Primera).
2.3.1.11 El Informe Técnico.
Este informe consiste en una exposición detallada del análisis efectuado deberá
describir en profundidad la metodología, técnicas y hallazgos de evidencias digitales del
equipo forense objeto y motivo de pericia. (Pazmiño Montaluisa, M. A. (25 de 01 de
2017). Informática Forense, Laboratorio Criminalística Quito. (M. Jaque,
Entrevistador).
A modo de orientación deberá contener, los siguientes puntos:
• Oficio quien pone en conocimiento a la Autoridad, Jefe del Departamento de
Criminalística.
• Antecedentes.
• Objeto de la Pericia.
• Elementos recibidos.
• Conceptos y fundamentos técnicos.
• Identificación técnica del elemento recibido.
• Elemento Adquirido (Imágenes forenses).
• Descripción del elemento adquirido.
• Desarrollo de la Pericia.
• Análisis, entorno del análisis.
• Recolección de los datos.
• Descripción del incidente.
• Análisis de la evidencia.
• Información del sistema analizado.
• Características del SO.
• Aplicaciones.
• Servicios.
60
• Vulnerabilidades.
• Metodología.
• Descripción de los hallazgos
• huellas de la infracción.
• Herramientas usadas por el atacante o incidente.
• El origen del ataque
• Cronología de la infracción.
• Conclusiones.
• Firma y rubrica del servidor policial quien actuó.
2.3.Técnicas De Recolección De Información
La investigación se realizará en la modalidad cual-cuantitativa, pues se trata de resolver
problemas de índole técnico con la ayuda de estudios estadísticos para fundamentar y
obtener respuestas concretas a los objetivos planteados en el presente trabajo, se
utilizarán la técnicas como: la encuesta, entrevista, población y muestra.
2.3.1. Encuesta.
Esta se dirigirá a los señores jefes y peritos civiles como policiales, obteniendo un
enfoque más cercano a la realidad del área, conociendo las fortalezas y debilidades
técnicos-forenses cuales son de cambio emergente y cuales podrían quedar dentro de
las necesidades a corto plazo.
El mencionado método consiste en obtener información de los sujetos de estudio
proporcionada por los peritos, existen dos maneras de obtener información, la entrevista
y el cuestionario, para la presente investigación se utilizó el cuestionario el cual
consiste en un formulario impreso destinado a obtener repuestas sobre las necesidades
de estudio, se ha escogido esta técnica por su capacidad para proporcionar información
sobre un mayor número de personas en un periodo bastante breve y la facilidad de
obtener cuantificar, analizar e interpretar los datos.
El cuestionario contendrá los siguientes elementos básicos tales como:
61
• Identificación institucional
• Título del cuestionario
• Objetivo del instrumento
• Instrucciones para su contestación (Ver Anexo 1).
Cabe señalar que las preguntas que contiene son de tipo dicotómicas, es decir que el
encuestado solamente responderá con sí o no. La encuesta que se aplicará está dirigida
a peritos pertenecientes al Departamento de Criminalística de Pichincha área de
Informática Forense.
2.3.2. Entrevista.
Con fecha 21 de abril del 2017 en las Instalaciones del Departamento de Criminalística
de Pichincha me entreviste con el Jefe de la sección de Informática Forense el Capitán.
Ing. Marco Aurelio Pazmiño Montaluisa perito del área quien compartió las
experiencias, procedimientos y la forma de utilizar las herramientas técnicas que
actualmente posee esta dependencia Policial que ha ido evolucionando paulatinamente
conforme ha evolucionado los delitos informáticos en el Ecuador.
En la entrevista realizada se plateo el tema sobre el manejo de una metodología de
herramientas forenses en la sección de informática forense del Departamento de
Criminalística de Pichicha, en aras de mantener un orden en cuanto a la forma de
recuperar información, dato o cualquier indicio digital almacenado en un medio
informático en este caso equipos computacionales.
En esta línea se trazó un cuestionario con preguntas cerradas orientados a los peritos
civiles como policiales de esta área con el fin de obtener la población y muestra para la
tesis que estoy encaminando con el rol de fomentar e implementar esta metodología.
2.3.3. Población y Muestra.
La población de estudio se encuentra en la ciudad de Quito, siendo el universo Fiscalía
Provincial de Pichincha que coadyuva en las investigaciones de delitos de carácter
informático y Miembros Policiales del el Departamento de Criminalística de Pichincha,
y la muestra que tomaremos será del estrato que sobre pase las 33 personas.
62
La población de las cuales se obtuvieron datos para la comprobación del estudio
planteado se presenta a continuación en La Tabla 1.
POBLACIÓN
ENCUESTADOS
PERITOS INFORMÁTICOS
13
FISCALES
20
Tabla 1 Poblaciones que se tomaron en cuenta para el estudio de la Metodología, Fuente: Milton Jaque.
2.3.4. Análisis De Resultados.
Los resultados obtenidos se presentaran mediante un análisis crítico por cada una de las
preguntas efectuadas a los entrevistados y encuestados según los cuestionarios que se
señalan:
63
1. ¿Conoce usted alguna metodología de informática forense?
ALTERNATIVA
S
FRECUENCIA PORCENTAJE
SI 15 45%
NO 18 55%
TOTAL 33 100%
Tabla 2 Conoce usted alguna metodología de Informática Forense Fuente: Milton Jaque
Figura 21Conoce usted alguna metodología de Informática Forense Fuente: Milton Jaque
Análisis e interpretación:
En esta pregunta se puede evidenciar que el 45% de los encuestados conoce sobre una
metodología de informática forense en el departamento de criminalística de Pichincha,
mientras que el 55% desconocen del particular.
45%
55%
Conoce usted alguna metodología de informática forense.
SI NO
64
2. ¿Conoce usted el procedimiento adecuado sobre el manejo de las herramientas
de informática forense que existe en el Laboratorio?
ALTERNATIVA
S
FRECUENCIA PORCENTAJE
SI 12 36%
NO 21 64%
TOTAL 33 100%
Tabla 3 Procedimiento adecuado sobre el manejo de las herramientas de informática forense, Fuente: Milton Jaque
Figura 22 Procedimiento adecuado sobre el manejo de las herramientas de informática forense; Fuente: Milton
Jaque
Análisis e interpretación:
En esta pregunta se puede evidenciar que el 36% de los encuestados conoce sobre el
procedimiento adecuado sobre el manejo de las herramientas de informática forense que
existe en el Laboratorio de Criminalística, mientras que el 64% desconocen de estos.
36%
64%
Conoce usted el procedimiento adecuado sobre el manejo de las herramientas de informática forense que existe en el Laboratorio
SI NO
65
3. ¿Conoce y posee conocimientos básicos en recuperación de información con
herramientas forenses existentes en este laboratorio?
ALTERNATIVA
S
FRECUENCIA PORCENTAJE
SI 8 24%
NO 25 76%
TOTAL 33 100%
Tabla 4 Posee conocimientos básicos en recuperación de información, Fuente: Milton Jaque
Figura 23 Posee conocimientos básicos con herramientas forenses existentes en este laboratorio; Fuente: Milton
Jaque
Análisis e interpretación:
En esta pregunta se puede evidenciar que el 24% de los encuestados conoce sobre la
recuperación de información con herramientas forenses, mientras que el 76%
desconocen de estos.
24%
76%
Conoce y posee conocimientos básicos en recuperación de información con herramientas forenses existentes en este laboratorio
SI NO
66
3. ¿Tiene el conocimiento que significa Identificar, Preservar, Analizar y Presentar los
resultados obtenidos?
ALTERNATIVA
S
FRECUENCIA PORCENTAJE
SI 23 70%
NO 10 30%
TOTAL 33 100%
Tabla 5 Tiene el conocimiento que significa Identificar, Preservar, Analizar y Presentar: Milton Jaque
Figura 24 Conocimiento del Protocolo de Informática Forenses; Fuente: Milton Jaque
Análisis e interpretación:
En esta pregunta se puede evidenciar que el 70% de los encuestados conoce o tiene el
conocimiento del protocolo de informática forense, mientras que el 30% desconocen de
estos.
70%
30%
Tiene el conocimiento que significa Identificar, Preservar, Analizar y Presentar los resultados obtenidos
SI NO
67
4. ¿Al abordar una escena con elementos digitales, cree usted que se encuentra
totalmente preparado para la respectiva recolección de los mismos?
ALTERNATIVA
S
FRECUENCIA PORCENTAJE
SI 12 36%
NO 21 64%
TOTAL 33 100%
Tabla 6 Se encuentra totalmente preparado para la respectiva recolección, Fuente: Milton Jaque
Figura 25 Escena de elementos digitales con conocimiento; Fuente: Milton Jaque.
Análisis e interpretación:
En esta pregunta se puede evidenciar que el 36% de los encuestados conoce o está
capacitado para realizar un procedimiento en una escena con elementos digitales,
mientras que el 64% desconocen de estos.
36%
64%
Al abordar una escena con elementos digitales, cree usted que se encuentra totalmente preparado para la respectiva recolección de los mismos
SI NO
68
5. ¿Cree usted que el personal de esta sección de Informática Forense se encuentra
totalmente capacitado para resolver incidentes informáticos con la ayuda de
herramientas informáticas?
ALTERNATIVA
S
FRECUENCIA PORCENTAJE
SI 15 45%
NO 18 55%
TOTAL 33 100%
Tabla 7 Se encuentra totalmente capacitado para resolver incidentes informáticos, Fuente: Milton Jaque.
Figura 26 La preparación técnica para resolver incidentes; Fuente: Milton Jaque
Análisis e interpretación:
Análisis e interpretación:
En esta pregunta se puede evidenciar que el 45% de los encuestados conoce o está
capacitado para realizar investigaciones con herramientas forenses, mientras que el 55%
desconocen de estos.
45%
55%
Cree usted que el personal de esta sección de Informática Forense se encuentra totalmente capacitado para resolver incidentes informáticos con la ayuda de herramientas informáticas
SI NO
69
6. ¿Cree usted que se debe capacitar anualmente al personal de Informática Forense
sobre, metodologías de recuperación de información en computadores?
ALTERNATIVA
S
FRECUENCIA PORCENTAJE
SI 33 100%
NO 0 0%
TOTAL 33 100%
Tabla 8 Capacitar anualmente al personal de Informática Forense, Fuente: Milton Jaque.
Figura 27 Capacitación de forma anual al recurso humano; Fuente: Milton Jaque.
Análisis e interpretación:
En esta pregunta se puede evidenciar que el 100% de los encuestados están de acuerdo
con la capacitación anual a todo el recurso humano que trabaja dentro del área técnica
en aras de coadyuvar con la justica.
100%
0%
Cree usted que se debe capacitar anualmente al personal de Informática Forense sobre, metodologías de recuperación de información en computadores
SI NO
70
7. ¿Conoce usted que tipos herramientas forenses se puede emplear para recuperar
información en equipos computacionales?
ALTERNATIVA
S
FRECUENCIA PORCENTAJE
SI 16 48%
NO 17 52%
TOTAL 33 100%
Tabla 9 Tipos herramientas forenses se puede emplear para recuperar información, Fuente: Milton Jaque.
Figura 28 Emplear herramientas forenses; Fuente: Milton Jaque
Análisis e interpretación:
En esta pregunta se puede evidenciar que el 48% de los encuestados conoce los tipos de
herramientas para la recuperación de información en equipos de cómputo, mientras que
el 52% desconocen de estos.
48% 52%
Conoce usted que tipos herramientas forenses se puede emplear para recuperar información en equipos computacionales
SI NO
71
8. ¿Sabía que basado en metodologías y técnicas de recuperación de información se
puede llegar a obtener mayor rédito y resultados fehacientes en la investigación de
un delito?
ALTERNATIVA
S
FRECUENCIA PORCENTAJE
SI 14 42%
NO 19 58%
TOTAL 33 100%
Tabla 10 Basado en metodologías y técnicas de recuperación de información se puede llegar a obtener mayor
rédito, Fuente: Milton Jaque.
Figura 29 Metodologías y técnicas de recuperación; Fuente: Milton Jaque
Análisis e interpretación:
En esta pregunta se puede evidenciar que el 42% de los encuestados conocen una
metodología y técnicas de recuperación, mientras que el 58% desconocen de estos.
42%
58%
Sabía que basado en metodologías y técnicas de recuperación de información se puede llegar a obtener mayor rédito y resultados fehacientes en la investigación de un delito
SI NO
72
9. ¿Está usted de acuerdo, con la creación de una Metodología para la recuperación de
la Información en computadores con herramientas forenses de este laboratorio?
ALTERNATIVA
S
FRECUENCIA PORCENTAJE
SI 33 100%
NO 0 0%
TOTAL 33 100%
Tabla 11 Creación de una Metodología para la recuperación de la Información en computadores con
herramientas forenses, Fuente: Milton Jaque.
Figura 30 Creación de una metodología para la recuperación de información; Fuente: Milton Jaque
Análisis E interpretación:
En esta pregunta se puede evidenciar que el 100% de los encuestados están de acuerdo
con la implementación de una metodología de recuperación de información en equipos
computaciones.
100%
0%
Está usted de acuerdo, con la creación de una Metodología para recuperación de Información en computadores con herramientas forenses de este laboratorio
SI NO
73
2.4.Conclusiones parciales del capitulo
Teniendo en cuenta las diferentes fases de la informática forense y la recolección de la
evidencia digital se destaca la importancia de no modificar o manipular la evidencia en
la escena del posible delito tecnológico. Por lo tanto la utilización de herramientas
técnicas específicas que permita crear imágenes de los discos duros para ser analizados
es muy importante por lo que permite manipular una de las copias y no dañar la
evidencia original.
Teniendo en cuenta las fases de la informática Forense más del ochenta y cinto por
ciento de los encuestados asumen que es vital incorporar un mecanismo que fortalezcan
el procedimiento técnico metodológico, que partirá conforme a las necesidades de
crecimiento para el año 2017, en el que deberán participar todos peritos y otros, del área
con la finalidad de reclutar la información que se verá reflejada en los diferentes
escenario informáticos dentro de la Institución Policial Técnica Científica. Además
permitirá mejorar los procesos y procedimientos técnicos, mediante una acertada
ejecución técnica metodológica, dejando de lado el empirismo con el que se ha venido
manejando hasta la actualidad.
74
CAPITULO III
3.1 La Propuesta.
3.1.1 Tema:
“Metodología de uso de herramientas forenses en la sección de informática forense del
Departamento de Criminalística de Pichincha de la Policía Nacional del Ecuador”
3.1.2 Antecedentes de la propuesta.
El Departamento de Criminalística de Pichincha está en constante modernización por lo
que permite incorporar tecnología actual y a su vez incorporar nuevas áreas entre ellas
informática forense, transformando en uno de los pilares fundamentales e importantes
con fines investigativos como periciales.
La investigación técnico científico a cargo del Departamento de Criminalística área de
Informática Forense cumple un papel importante con el aporte de elementos materiales
probatorios permiten determinar la comisión de un delito e identificar a sus posibles
autores facilitando a los operadores de Justicia en el Ecuador en dictaminar una
sentencia condenatoria. Todo esto en base a un estudio, metodología y recolección de
indicios digitales, hallados en los diferentes escenarios informáticos, judicializados por
Fiscales, Jueces y autoridades que lo requieran con fines investigativos.
En capítulos anteriores se ha mencionado la incorporación y el avance de la tecnología
en informática forense, el cual me permite realizar una Metodología que tiene como
finalidad el uso adecuado de las herramientas para Identificar, preservar, analizar y
materializar la evidencia digital que coadyuve a los administradores de Justicia hecho
que en la actualidad es de preocupación para los sistemas informáticos por los
constantes delitos cometidos. La Informática Forense desde el punto de vista técnico
realiza investigaciones de elementos electrónicos, digitales, ópticos y móviles con el fin
de descubrir y de analizar información disponible, suprimida, u ocultada que puede
servir como evidencia en un asunto legal.
75
3.1.3 Justificación:
La Constitución del Ecuador en su Art. 163 indica “La Policía Nacional es una
institución estatal de carácter civil, armada, técnica, jerarquizada, disciplinada,
profesional y altamente especializada, cuya misión es atender la seguridad y el orden
público, y proteger el libre ejercicio de los derechos y la seguridad de las personal
dentro del territorio nacional”
Con este este antecedente es vital que el Departamento de Criminalística de Pichincha y
el área técnica científica de la Policía Nacional esté a las exigencias sociales y
tecnológicas comprometiendo nuestro nivel de profesionalismo este a la altura de las
condiciones necesarias.
Con la aplicación de la encuesta didáctica al recurso humano de la unidad de
Informática Forense del departamento de Criminalística de Pichincha como
administradores de justicia se pudo determinar un alto porcentaje desconocen sobre una
metodología de uso de herramientas forenses para el análisis de evidencia digital, sin
embargo reconocen la importancia de este mecanismo a fin de evitar en un futuro la
impunidad de ciertos delitos o incidentes cometidos por elementos tecnológicos.
3.2 Objetivos.
3.2.1 General:
Implementar una metodología de uso de herramientas forenses para la Sección
de Informática del Departamento de Criminalística de Pichincha de la Policía
Nacional.
3.2.2 Objetivos Específicos:
Fundamentar teóricamente todas las herramientas de análisis forenses utilizadas
en el Departamento de Criminalística de Pichincha de la Policía Nacional.
Desarrollar una metodología funcional para el uso adecuado de las herramientas
de análisis forense en el Departamento de Criminalística de Pichincha de la
Policía Nacional
76
Difundir la metodología a los miembros del Departamento de Criminalística de
Pichincha, se ponga en práctica el buen manejo de las herramientas para el
análisis forenses.
Validación de la Propuesta.
3.3 Desarrollo de la Metodología.
Existe una serie de modelos o metodologías de procedimientos que incluyen no solo el
aseguramiento de la evidencia digital si no todos los pasos y fases que debe de tener en
cuenta para realizar un análisis forense.
The Electronic Crimen Scene Investigation y A Guide For First Reespnders, propuesto
por el departamento de Justicia de los Estados Unidos ofrece los siguientes lineamientos
cuando se manipula Evidencia Digital:
• Asegurar y Evaluar la Escena.- Se debe de llevar a cabo una serie de pasos
para asegurar la integridad de evidencia potencial.
• Documentar la escena.- Se debe crear un registro permanente de la escena
documentando tanto evidencia digital como convencional.
• Recolección de Evidencia.- Se debe recolectar tanto evidencia tradicional
como digital de manera que se conserve el valor de dicha evidencia.
• Empaque, transporte y almacenamiento.- Se debe de tomar las
precauciones adecuadas cuando se empaque, transporte y almacene la
evidencia manteniendo la cadena de custodia.
Se expone las prácticas establecidas conforme a las directrices para la gestión de
evidencia informática, realizado en Hong Kong China en el año 2004 actualizado en el
año 2016, difundido por el Grupo de trabajo de telecomunicaciones e Información de
APEC, HB 171-2003 Guidelines for the Management of IT Evidence, y explicado
detalladamente en el documento “Buenas prácticas en la administración de evidencia
digital”.
Dicho documento es un compendio de prácticas internacionales en el tema de evidencia
digital disponibles a la fecha que ofrece un conjunto de elementos teóricos y prácticos a
fin de poyar procesos donde este tipo de evidencias es fundamental para avanzar en una
solución de un caso o incidente informático; el ciclo de vida de para la administración
der evidencia digital detalla de la siguiente manera:
77
Figura 31 Ciclo de vida para la Administración de la evidencia; Fuente: Milton Jaque
Una vez visto el ciclo de vida de Evidencia digital en las 6 fases, se proporciona una
leve descripción de cada una.
• Diseño de la Evidencia.- Como objetivo principal de esta fase es fortalecer
la admisibilidad y relevancia de la evidencia producida por las tecnologías de
la información, obteniendo como. Fecha, hora de alteración, validación de
autenticidad de los registros entre otras prácticas asociadas al incidente
informático.
• Producción de Evidencia.- El objetivo de esta fase consiste en producir la
mayor cantidad de información posible con el fin de aumentar las
probabilidades de obtener e identificar evidencia relevante relacionada con el
incidente, para realizar esto es necesario que el sistema computacional
genere registros electrónicos que se pueda identificar el posible autor de
dichos registros y se pueda identificar fechas y horas de creación entre otros.
• Recolección de la evidencia.- El objetivo de esta fase es localizar toda la
evidencia digital y asegurar que todos los registros originales no han sido
alterados en cual relaciona con lo antes dicho sobre los principios que se
deben tomar en cuenta para manipular evidencia digital.
78
• Análisis de evidencia.- Aquí consiste en realizar un análisis y articulación
de los registros electrónicos para establecer los hechos de eventos
ocasionados.
• Reporte y presentación.- El objetivo de esta fase consiste en generar
documentos concerniente a los resultados y actividades inherentes a la
investigación así como la respectiva cadena de custodia de la evidencia
sujeta a análisis.
• Determinar la relevancia de la evidencia.- Consiste en valorar las
evidencias de tal manera que se identifiquen cada procedimiento adoptado y
permita presentar de una forma clara y eficaz los elementos relevantes para
presentar en un proceso judicial.
• Una vez realizado la revisión de algunos de los modelos estándares y
procedimientos más aceptados en cuanto a informática forense se refiere, se
procede a continuación a proponer una metodología de técnicas y
procedimientos con herramientas para realizar un análisis forense orientados
a discos duros basado en los principios antes mencionados y aportando
elementos que faciliten la obtención de la evidencia digital relacionado con
los detalles de una investigación originado por un incidente informático por
lo cual se procede a describir la metodología propuesta.
3.4 Alcance y limitaciones de la Metodología Propuesta.
3.4.1 Alcance.
Existe muchos modelos propuestos para guiar el proceso forense digital en muchas
partes del mundo, tal como se realizó un análisis en el Capítulo II, sin embargo no se ha
establecido una conclusión sobre el cual es la más apropiada o acorde; a pesar de que
cada caso de podría trabajar bien con un tipo de investigación o incidente informático en
particular, ninguna de ellas se centra en una información específica que esté involucrada
en el análisis forense de discos duros o equipos computacionales. La metodología
propuesta ha sido desarrollada para ayudar a las prácticas forenses que involucren
discos duros.
Se ha incorporado aquellas prácticas y técnicas estándar existentes en el mundo de la
investigación física y digital, este modelo intenta superar las principales diferencias de
79
los modelos digitales forenses existentes ya que a menudo estos modelos metodologías
suelen ser muy generales.
3.4.2 Limitaciones.
La guía presenta las siguientes limitaciones:
• El alcance de la metodología está limitada a herramientas de análisis forense
a discos duros.
3.5 Características de la Metodología Propuesta.
La metodología presenta las siguientes características:
Modular.- Se divide en seis fases cada uno de estas se complementan para realizar un
correcto análisis forense digital.
Consistente.- se fundamente en escenarios informáticos reales sobre casos de
investigación de carácter penal.
Es de aplicación limitada.- Complicado que un modelo o metodología pueda atender o
resolver todas las posibles circunstancias que pudieran generarse en un momento
determinado, por lo tanto la metodología propuesta también presenta limitaciones al
momento de su aplicación.
Verificable.- Las evidencias y resultados obtenidos pueden ser sometidos a diferentes
pruebas o contra peritajes.
Organizado.- La metodología de uso de herramientas presenta en sus fases un orden el
cual es recomendable seguir.
Incremental.- Las fases a realizar en forma secuencial dependiendo del tipo de
evidencias que tengamos en los diferentes escenarios informáticos (volátiles o no
volátiles) habrá un tratamiento distinto, esencialmente en cuestión de actuar de forma
rápida en recolección de evidenciad digitales.
Respaldo legal.- Algo muy importante es la parte legal de los procedimientos técnicos
y los resultados de los informes que pueden establecer casos ilícitos informáticos.
80
3.6 Fases de la Metodología Propuesta.
Debido a que cada investigación es diferente conforme a sus incumbencias y
requerimientos periciales, tener un enfoque de un procedimiento definido será
complicado establecer dadas las circunstancias del hecho punible. Sin embargo varias
propuestas hacen referencia a la misma área, aunque existen diferentes aristas que
sobresalen acorde a su importancia y relevancia.
La metodología como propuesta está orientada a ser empleada en investigaciones o
incidentes informáticos pericialmente potenciales en los que se requiere obtener
evidencia digital para su proceso y judicialización; la metodología propuesta se
estructuró en seis fases o formas donde están integradas donde van a permitir incluir la
mayor cantidad de elementos a considerar para realizar el proceso de análisis técnico
forense a discos duros o equipos computacionales, donde se desprende de la siguiente
forma:
FASE I: Identificación
1.- Preparación
2.-Identificación del problema
FASE II: verificación.
1.- Aseguramiento de la Escena
2.- Documentar la Escena y/o equipo
intervenido
FASE III: Recolección de
Evidencias, herramientas.
1.-Priorización de la evidencia recolectada
2.- Recolección de datos
3.- Línea de tiempo
FASE IV: Análisis de
Evidencias.
1.- Análisis de los medios de
almacenamiento
FASE V: Recuperación de datos
FASE VI: Preparación del
Informe pericial
1.- organización de la información o datos
2.-Presentar y/o materializar el informe
final
81
Tabla 12 Fases de la metodología de análisis forense Propuesta; Fuente, Milton Jaque
Una vez realizado la propuesta de las metodologías y fases, es posible describir cada
una de ellas para una mejor conceptualización.
3.6.1 FASE I: Identificación.
1.- Preparación.- Esta fase de preparación ocurre antes de que se efectué la
investigación de campo donde está involucrado un entendimiento sobre el escenario el
cual se va ejecutar ciertas actividades técnicas como:
• Definir roles y responsabilidades entre el personal involucrado.
• Preparación del equipo técnico (software-hardware), para recolección de
evidencia digital.
• Realizar una evaluación de los recursos, alcance y objetivos necesarios para
realizar la investigación pericial sobre el elemento tecnológico.
• La investigación técnica debe respetar y ser orientado estrictamente
conforme lo impone la ley y reglamentos jurídicos en los diferentes casos tal
cual manifiesta el COIP (Código Orgánico Integral Penal).
2.- Identificación del problema.- En esta fase se encuentra involucrada la parte
afectada y la Fiscalía ente rector de la investigación Judicial procesal y pre procesal, lo
cual es la que deberá iniciar mediante una petición o delegación fiscal donde consten los
puntos periciales a investigarse, por lo tanto esta etapa iniciara cuando el área de
Informática Forense por medio del departamento de Criminalística de pichincha haya
recibido la notificación correspondiente que involucre el equipos computacionales.
En este punto se indicara las acciones iniciales que involucra la obtención de algunas
características del evento a tratarse.
• ¿Cuál es el problema? ¿Cuáles son los posibles puntos periciales? ¿Qué parte
del sistema informático está afectado?, de ser el caso obtener información
sobre que discurre la presente investigación entre otros., estos datos servirá
para crear un perfil sobre el estado inicial de la investigación el cual servirá
para orientar las acciones posteriores inmersas en un delito.
• Identificar los dispositivos de almacenamiento o elementos informáticos que
se consideren comprometidos y sean determinados como evidencias al que se
82
describirá marca, modelo, serie, código de barras, otras características
identificativas.
• Identifique los posibles implicados que tengan relación directa o indirecta en
la presente investigación de un delito, y efectué entrevistas con las unidades
especiales de inteligencia que llevan la investigación de campo, documente y
trate de armar una bitácora de indicios potenciales de la investigación.
3.6.2 FASE II: Verificación.
1.- Aseguramiento de la Escena.
i. Investigación de Campo.- Aquí se encarga principalmente de asegurar la
escena del delito a fin de evitar accesos de personas no autorizadas como accesos de
carácter digital evitando que la evidencia digital sea contaminada.
• Identificar la escena del delito, perímetro donde se encuentran equipos
tecnológicos en este caso que se estudia equipos computacionales
involucrados.
• Evitar daños a la evidencia no de be ser manipulado el equipo intervenido.
• Garantizar la seguridad de las personas en dicha escena, protección absoluta
de la integridad de la evidencia digital. Los investigadores en este caso
peritos informáticos e tener en control total del escenario informático, evitar
en lo posible la intromisión de personas ajenas o no deseadas, ya que al
número de personas instauradas en dicha escena del delito aumenta las
posibilidades de contaminación, manipulación y destrucción de evidencia.
• Preservar toda huella de carácter digital (dactilar), con los equipos técnicos
de levantar huellas dactilares.
• Fotografiar el equipo a ser intervenido o inmerso en la presente
investigación, tal cual se localiza esto sea operativo o apagado.
ii. Investigación de Laboratorio.- Esta fase se encarga de asegurar el ambiente o
tratado del equipo tecnológico donde van a ser intervenidos técnicamente sobre las
unidades de almacenamiento de datos en este caso discos duros en el cual se va ejecutar
ciertas actividades técnicas como:
83
• Estudio preliminar , aquí es donde se ha de plantear la situación en las que
nos encontramos: estado físico del disco, causas del posible fallo, otros, esta
es la toma de contacto entre el elemento físico y el perito donde saldrá a
priori, el camino a seguir para llevar u buen proceso técnico dentro de la
presente investigación.
• Evitar daños físicos y la contaminación, esto es no golpear los elementos a
ser tratados, así como utilizar el equipo de bioseguridad bata blanca, guantes
de látex otros, con la finalidad de evitar la contaminación y corrosión al
manipular dichos artefactos tecnológicos.
• Actuar metódicamente en cualquier actividad que se realice y esto se
profundiza con un juicio se necesitara justificar todas las acciones que se
haya tomado; si se ha actuado de manera científica y metódica tomando
todas las medicas de precaución técnica esta justificación será mucho más
fácil. Por lo que permite a cualquier persona poder seguir los pasos y
verificar que no se ha cometido ningún error que pueda poner en duda el
valor de la evidencia digital.
• Controlar la cadena de evidencia, es decir conocer quien cuando y donde ha
manipulado la evidencia.
2.- Documentar escena y/o equipo computacional.- Esta parte involucra la correcta
documentación de la escena es decir la fijación del lugar de los hechos del delito,
mediante la toma de fotografías de todos los dispositivos de almacenamiento de datos
junto con cables, adaptadores otros, esquematización y mapeo de la escena del
incidente todo este procedimiento es en la investigación de campo ahora vamos a ver en
laboratorio.
Si los equipos datan en el laboratorio será necesario documentar desde el instante que se
retira la evidencia del centro de acopio del Departamento de Criminalística hasta su
finalización del procedimiento, tomado en cuenta documentar o fotografiar las marcas,
modelos, cantidad de dispositivos, series entre otros.
Esto es esencialmente importante cuando el especialista en este caso el perito
informático tenga que presentar su testimonio en la audiencia de juicio ante el tribunal
de garantías penales lo cual ocurre varios meses después de la iniciada investigación.
84
3.6.3 FASE III: Recolección de Evidencia, herramientas.
En esta fase se procede a recolectar la evidencia digital sin alterar, modificar o dañar y
sea autentica la información extraída sea igual a la original.
Por lo que existen una gran cantidad de herramientas para, preservar, identificar,
analizar, recuperar evidencia, por lo tanto el uso de las herramientas (hardware o
software) sofisticadas se hace necesario debía a:
• La gran cantidad de datos que pueden estar almacenados en un computador.
• La variedad de formatos de archivo, los cuales pueden variar enormemente
aun dentro del contexto de un mismo sistema operativo.
• La necesidad de recopilar la información de una manera exacta y permita
verificar que la copia sea exacta.
• Limitaciones de tiempo para analizar toda la información.
• Facilidad de borrar archivos de computadores.
• Mecanismos de inscripción o de contraseñas
Aquí es donde se hará uso de las herramientas forense disponibles en la unidad de
Informática Forense del departamento de Criminalística de la Policía Nacional
tanto software como hardware ya definidas previamente y asignar los equipos a las
labores correspondientes en cada incidente informático.
• Extracción y creación de imágenes forenses, herramienta tipo hardware
como es FALCON FORENSIC, con sus accesorios y software FTK
IMAGER.
• Clonación de discos originales por discos de destino, en laboratorio y campo,
herramienta tipo hardware TABLEAU TD1, con sus adaptadores y
accesorios.
• Procesamiento, indexación digital de imágenes en laboratorio, herramienta
tipo software AUTOPSY, FTK IMAGER.
• Análisis y obtención de evidencia digital en tipo macro con la herramienta
software ACCESS DATA FORENSIC TOOLKIT.
• OTROS.
• Se iniciaría una bitácora que nos permita documentar de forma precisa e
identificar y autentificar los datos e información que recolectan:
85
• ¿Quién realizo la acción y porque lo hicieron?
• ¿Que están tratando de logar?
• ¿Cómo se realiza, incluida las herramientas que se utiliza y los
procedimientos técnicos que se siguieron?
• ¿Cuándo se realizó la acción, fecha, hora y los resultados?
1.- Priorización de evidencia recogida.- Esta fase o método se hará notar que los
discos duros como unidades de almacenamiento de información contiene grandes
almacenes de datos por lo tanto deberá tomar en cuenta que la información es una
mercancía ilegal o fruto de un delito, que la información sea un instrumento y que la
información es evidencia.
Siendo importante el reconocimiento de la evidencia y clasificar, esto a fin de
encaminar correctamente el tipo de investigación la obtención de indicios y
posteriormente los elementos probatorios necesarios para sostener nuestro caso. Es así
que por ejemplo el procedimiento de una investigación por homicidio que tenga relación
con evidencia digital será totalmente distinto al que se utilice en un fraude informático
por lo tanto el rol que cumpla el sistema informático determinara DONDE DEBE SER
UBICADA Y COMO DEBE SER USADA LA EVIDENCIA.
2.- Recolección de datos.- En esta actividad lo realizan los peritos informáticos o
técnicos del área de informática forense, tomando las medidas de precaución
correspondiente realizara la preservación de la integridad por lo tanto la admisibilidad
de la evidencia digital. A media que transcurre el tiempo en un incidente o delito
informático las pruebas pueden ser sobrescritas, eliminadas o dañadas.
Por lo tanto esta debe ser relevante, es decir que tenga relación con el delito bajo
investigación y que haya sido obtenida en un modo legal. Además, debe estar
correctamente identificada (respetando su cadena de custodia) y ser confiable es decir
que no haya sido modificada con los siguientes requerimientos.
• No cambiar el estado del dispositivo.
• Recopilar evidencias siguiendo el orden de mayor a menor volatilidad.
• No confiar en la información proporcionada por los programas del sistema.
• No ejecutar aplicaciones que modifiquen la fecha y hora de acceso de los
archivos del sistema.
86
• Si no está seguro de lo que está haciendo no realice ninguna acción.
Realizar una copia imagen de los equipos computacionales o dispositivos de
almacenamiento (bit a bit) con herramientas apropiadas en esta caso disponibles en el
área de INFORMATICA FORENSE DEL DEPARTAMENTO DE CRIMINALISTICA
DE LA POLICIA NACIONAL, y firmar con su contenido o códigos hash MD5 y
SHA1, generando así el segundo original, a partir de este se generaran copias para los
análisis de información y datos y cada copia debe de ser comprobada con códigos
HASH; documente la evidencia y cadena de custodia que puedan garantizar su
autenticidad y legalidad de la información.
3.- Cronología y Línea de Tiempo.- Esta actividad consiste en construir una línea de
tiempo inicial que trazara las actividades o acontecimientos digitales más notables o
relevantes que han sido identificados hasta la fecha y establecer un ámbito de la
investigación que será utilizado durante la fase de análisis forense.
3.6.4 FASE IV: Análisis de Evidencia.
1.- Análisis de información.- El procedimiento de análisis dependerá del caso que se
investiga o tipo de incidente informático, en general se trabaja con las imágenes
adquiridas o recolectadas en la fase anterior donde tomaremos los puntos iniciales en un
análisis dado la circunstancia:
• Análisis de secuencia temporal “TIMELINE”.
• Búsqueda del contenido.
• Recuperación de ficheros o documentos borrados o corruptos.
• Análisis de códigos (virus troyanos, otros).
El objeto es llegar al ¿Qué? ¿Cuándo? ¿Cómo? ¿Quién? ¿Por qué?, de un análisis
técnico y descubrir a los presuntos responsables inmersos en la presente investigación
cometido de un delito informático.
Como parte inicial de un análisis estará encaminado a:
• Buscar archivos ocultos o no usuales (Slack space).
• Buscar procesos no usuales y sckets abiertos.
• Buscar cuentas de usuarios extraños.
87
• Determinar el nivel de seguridad del sistema, otros.
A través del análisis se habrá identificado toda la información relacionada con aquellos
objetos considerados sobresalientes o relevantes para la investigación penal, de igual
forma se habría identificado cuales son las características que presenten estos artefactos
relacionados en el cometimiento del delito.
3.6.5 FASE V: Recuperación de datos.
En esta fase mediante la utilización de un conjunto de técnicas y procedimientos
utilizados con herramientas software se realizara la recuperación de datos como
información que se vio afectado por un delito o incidente informático almacenada en
medios digitales que por daño o delito no pueden ser accesibles de manera usual.
3.6.6 FASE VI: Preparación del informe.
Consiste en documentar todas las acciones, eventos y hallazgos obtenidos durante el
proceso forense, a continuación se muestra la estructura del informe técnico pericial.
1.- Organización de la información.
• Recolectar toda la información generada en las fases y metodologías
anteriores.
• Identificación de información relevante que nos permita determinar en una
investigación de un delito.
• Emitir conclusiones.
2.- Presentar el informe final.
Debe ser claro, conciso y escrito en un lenguaje entendible para gente común (no tan
técnico) ya que dicho escrito estará en manos de los administradores de justicia que son
profesionales en derecho. Debe contener lo siguiente:
• Oficio dirigido a la autoridad competente quien lo requirió el informe
pericial con los siguientes datos:
• Portada de la unidad de criminalística.
• Numero de oficio.
• Fecha del oficio.
88
• Dirigido al fiscal requirente.
• Numero de pericia.
• Pie de firma del jede de la sección o unidad.
• Objeto de la pericia o informe.
• Conceptos técnicos o fundamentos técnicos.
• Autor del informe: Grado, nombres y apellidos.
• Desarrollo de la pericia o actividades realizadas del incidente informático.
• Detalles.
• Conclusión.
• Documentos de respaldo.
Tabla de contenidos del informe.
• Análisis preliminar.
• Cronograma de actividades.
• Proceso de análisis y entorno de investigación.
• Aplicación de la metodología de procedimientos.
• Conclusiones.
Descripción de parámetros del informe.
1. Análisis preliminar
En este ítem se explica sobre la finalidad del documento, definiendo como informe
técnico en respuesta a un proceso de análisis forense es importante indicar:
Portada.
• Identificación en forma rápida el contenido del informe pericial, es decir
detallar de forma clara el objetivo del mismo, dando a conocer en que se
centró el análisis un resumen del caso a resolver.
• Quien solicito el análisis forense, donde se realizó fecha del informe.
Información del o los peritos de investigación pericial.
• Grado policial.
• Nombres completos.
• Numero de cedula.
• Numero de acreditación ante el Consejo de la Judicatura.
89
Antecedentes.
• Descripción detallada de los equipos intervenidos.
• Especificar identificaciones y características técnicas del equipo.
• Listar los nombres de las herramientas utilizadas y su función.
Cronograma de actividades.
Aquí hablaremos sobre secuencia de acciones tomadas por parte de los peritos
informáticos de criminalística, en determinar tiempos aquí se pueden ayudar con el
software Projet de Microsoft office para su estructuración.
Proceso de análisis y entorno de la investigación.
El propósito de este capítulo es detallar las herramientas empleadas en el análisis
forense, se detallará la secuencia de actividades ejecutadas para la obtención de
evidencias.
3.7 Conclusiones.
Con este trabajo se ha pretendido realizar y ejecutar un excelente Análisis Forense
Digital en la Sección de Informática Forense del departamento de Criminalística de la
Policía Nacional, exponiendo aquellos detalles y particularidades propias de esta
disciplina. Se ha enfocado el tema desde el punto de vista de una herramienta al marco
metodológico y su uso que debe contemplar dentro de su política técnica en la unidad y
enmarcada dentro del proceso de análisis de incidentes en los sistemas informáticos.
Se ha intentado destacar la necesidad trascendental de aplicar metodologías, usos y
procedimientos específicos con el fin de garantizar la legalidad de las evidencias
durante todo el proceso forense, haciendo hincapié en la, identificación, extracción,
análisis, recopilación y custodia de las evidencias digitales.
Es preciso indicar que en la actualidad en el Ecuador la Informática Forense, ha tomado
un papel importante porque permite localizar las evidencias necesarias y suficientes en
una etapa de investigación, transformando en gran valor al momento de solventar un
caso penal.
90
La mejor forma de evitar errores técnicos y procesos fallidos en los diferentes
escenarios informáticos es establecer una metodología en el marco del uso de
herramientas forenses del Departamento de Criminalística de la Policía Nacional, y
además promover el servicio efectivo a la justicia ecuatoriana y la ciudadanía en aras de
contribuir científicamente con la parte tecnológica.
Es importante también alcanzar un cien por ciento la capacitación continua a las y los
peritos informáticos de la sección de Informática Forense del Departamento de
Criminalística, como también a los operadores judiciales llamados a solicitar
requerimientos periciales en materia de evidencia digital que permita avanzar y
fortalezca los procedimientos en los diferentes campos informáticos el contexto penal.
La metodología a ser considerado en esta investigación, conforme a las fases de
implementación de análisis de evidencia digital, es posible incrementar y ser ejecutada
en el Departamento de Criminalística y Ciencias Forenses, específicamente en la
sección de Informática Forense con sede en Quito..
3.8 Recomendaciones.
Para el proceso de datos e información ocasionados por incidentes informáticos donde
participan diferentes entidades judiciales como policiales, quienes trabajan en forma
conjunta con el fin de mitigar actos ilícitos, descubrir y penalizar a los posibles autores;
partiendo de esta premisa el personal de la policía investigativo de campo quienes son y
están en contacto previo en allanamientos, hasta los agentes fiscales que llevan el
control investigativo penal, deben ser capacitados en tratamiento de evidencia digital,
metodologías, herramientas y procesos a fin de evitar la contaminación o alteración de
la misma y tenga validez jurídica en un proceso penal ante un Tribunal.
También se recomienda la validación e implementación de una metodología técnica
científica, analítica de análisis con herramientas en el Laboratorio de Ciencias Forenses
de Criminalística de pichincha.
Finalmente por tratar un tema y proyecto tan extenso como la INFORMATICA
FORENSE, donde están involucrados equipos de cómputo, equipos de comunicación,
dispositivos electrónicos de Telefonía Digital, este último deberá ser considerado por
91
ser un aparato de almacenamiento de evidencia o información a ser tratada para un
análisis forense.
BIBLIOGRAFÍA Y REFERENCIAS
ACCESSDATA. (2016). http://accessdata.com/product-
download/?/support/adownloads#FTKImager. Obtenido de
http://accessdata.com/product-download/?/support/adownloads#FTKImager.
Caballero, Q. A. (2016).
http://www.reydes.com/d/?q=Crear_la_Imagen_Forense_desde_una_Unidad_utilizando
_FTK_Imager. Recuperado el 20 de octubre de 2016, de
http://www.reydes.com/d/?q=Crear_la_Imagen_Forense_desde_una_Unidad_utilizando
_FTK_Imager
Digitalintelligence. (s.f.).
https://www.digitalintelligence.com/products/forensic_duplicator_2u/. Recuperado el 24
de octubre de 2016, de
https://www.digitalintelligence.com/products/forensic_duplicator_2u/
FORENSICCOMPUTERS. (s.f.). http://www.forensiccomputers.com/tableau-td2u-
ultimate-kit.html. Recuperado el 24 de OCTUBRE de 2016, de
http://www.forensiccomputers.com/tableau-td2u-ultimate-kit.html
Borja Neacato, Willian Patricio; Flores Osorio, Marco Fernando; Arevalo Clavijo,
Katalina Del Rocio. (11 de octubre de 2015). http://myslide.es/documents/breve-resena-
historica-de-la-criminalistica-en-el-ecuadorpdf.html.
Bucker, C. (22 de 08 de 2012). Seguridad Informatica. Recuperado el 21 de 05 de 2016,
de Analisis Forense: http://calebbucker.blogspot.com/2012/08/analisis-forense-
extraccion-metadatos.html.
Esparza, J. (18 de 09 de 2013). Seguridad Informatica. Recuperado el 22 de 05 de 2016,
de Rflexiones sobre Norma ISO Evidencia Digital:
https://seguinfo.wordpress.com/category/analisis-forense/
Magnet, F. I. (s.f. de 04 de 2015). Magnet Forensics Inc. Recuperado el 22 de 05 de
2016, de Computer Forensics: https://www.magnetforensics.com/computer-forensics/
Sanchez, P. (s.f. de s.f. de 2011). 101 Utilidades Forenses. Recuperado el 21 de 05 de
2016, de 101 Utilidades Forenses: http://conexioninversa.blogspot.com.es/2011/11/101-
utilidades-forenses.html
soluciones, s. I. (22 de 04 de 2016). DragonJAR. Recuperado el 22 de 05 de 2016, de
DAWF (DragonJAR Automatic Windows Forensic): http://www.dragonjar.org/dawf-
dragonjar-automatic-windows-forensic.xhtml
ANEXO: CUESTIONARIO
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES
FACULTAD DE SISTEMAS MERCANTILES
CARRERA DE SISTEMAS
Objetivo.- Recabar información sobre METODOLOGÍA DE USO DE
HERRAMIENTAS FORENSES EN LA SECCIÓN DE INFORMÁTICA FORENSE,
orientado a peritos informáticos de la sección de Informática Forense del Departamento
de Criminalística de Pichincha.
Instrucciones:
Lea y seleccione una de las alternativas planteadas con una (X).
No debe dejar ninguna pregunta sin contestar.
Nro. Cuestionario SI NO
1 ¿Conoce usted alguna metodología de informática forense?
2 ¿Conoce usted el procedimiento adecuado sobre el manejo de las
herramientas de informática forense que existe en el Laboratorio?
3 ¿Conoce y posee conocimientos básicos en recuperación de
información con herramientas forenses existentes en este laboratorio?
4 ¿Tiene el conocimiento que significa Identificar, Preservar, Analizar y
Presentar los resultados obtenidos?
5 ¿Al abordar una escena con elementos digitales, cree usted que se
encuentra totalmente preparado para la respectiva recolección de los
mismos?
6 ¿Cree usted que el personal de esta sección de Informática Forense se
encuentra totalmente capacitado para resolver incidentes informáticos
con la ayuda de herramientas informáticas?
7 ¿Cree usted que se debe capacitar anualmente al personal de
Informática Forense sobre, metodologías de recuperación de
información en computadores?
8 ¿Conoce usted que tipos herramientas forenses se puede emplear para
recuperar información en equipos computacionales?
9 ¿Sabía que basado en metodologías y técnicas de recuperación de
información se puede llegar a obtener mayor rédito y resultados
fehacientes en la investigación de un delito?
10 ¿Está usted de acuerdo, con la creación de una Metodología para
recuperar Información en computadores con herramientas forenses de
este laboratorio?