Protocolo de Investigacin

Jos Roberto Lpez Quiones Protocolo de investigacin

Protocolo de InvestigacinMaestra en Tecnologas de InformacinJos Roberto Lpez Quiones

Tabla de contenidondice de ilustraciones4ndice de tablas5Introduccin9Revisin de literatura9Informtica forense: Una valiosa herramienta para las PyMEs9Resumen9Abstract10Principios del forensics12Herramientas tecnolgicas13Herramientas de informtica forense de hardware y software13Causas de daos14Recuperando informacin de la computadora.14Conceptos16Metodologa general de la investigacin19Descripcin de la metodologa seleccionada: materiales, mtodos, instrumentos, tcnicas, participantes.19Materiales19Mtodos19Medidas e instrumentos de evaluacin20Tcnicas20Participantes20Introduccin a la informtica forense (forensics)21Qu es forensics?21Cules son los objetivos de forensics?21Usos de forensics22Distincin entre documentos electrnicos y documentos impresos (20)22Tcnicas de forensics23Cmo se puede recuperar evidencia borrada?24Funcionamiento de los dispositivos de almacenamiento24Escritura de datos en dispositivos de almacenamiento25Lectura de datos en dispositivos de almacenamiento27Proceso de forensics28Identificacin de la evidencia digital28Extraccin y preservacin del material informtico.29Anlisis de datos.31File Slack (14, 25)31Archivo swap de Windows (14, 25)32Unallocated file space (14, 26)33Herramientas de forensics33Herramientas para la recoleccin de evidencia.33Herramientas de monitoreo y/o control de computadoras37Keylogger (29)37Herramientas de marcado de documentos(14)38Herramientas de hardware (14)38Dificultades del experto en forensics(14)38Seguridad forense en negocios. (30)39Quin utiliza la seguridad forense. (30)39Fases de la seguridad forense (30)40Retos de forensics(30)41Incidentes de seguridad (8)41Forensia en redes (Network Forensics)44Presupuesto de la investigacin.45Procedimiento46Encuesta46Anlisis de la informacin50Referencias51ANEXO1. Resultados de las encuestas53

ndice de ilustracionesIlustracin 1Eleccin del tema de investigacin8Ilustracin 2 Principales rubros de costos asociados a la seguridad de la informacin en su organizacin(6)10Ilustracin 3. Etapas de una investigacin (10)12Ilustracin 4 Una cabeza de escritura(14)25Ilustracin 5 Escribiendo datos en un medio de almacenamiento(14)25Ilustracin 6 Leyendo datos desde un medio de almacenamiento(14)26Ilustracin 7 Metodologa de trabajo para anlisis de datos(21)27Ilustracin 8 Elementos para la identificacin de evidencia.(21)28Ilustracin 9 Elementos para la preservacin de evidencia(21)29Ilustracin 10 Elementos para el anlisis de evidencia.(21)30Ilustracin 11 Categoras generales de incidentes(8)42

ndice de tablas

Tabla 1 Seguridad en algoritmos de hash (24)29Tabla 2 Area del file slack (18)31Tabla 3 Caractersticas de los principales software de "forensics"(21)36

TituloAnlisis de los beneficios del uso de tcnicas y herramientas de forensics en las Pymes para la recuperacin y prevencin de prdida de datos.

JustificacinCon el gran auge de las tecnologas de informacin, cada vez es ms comn la perdida de datos por parte de los usuarios, ya sea de una forma accidental o deliberada, lo cual, para las empresas, es una perdida principalmente de recursos econmicos, desgraciadamente esto es muy comn en las promesa, ya sea por errores de captura, o lo ms frecuente, empleados descontentos.(1)La prdida de informacin sin una correcta planificacin e implementacin de medidas de seguridad, podra requerir de una alta inversin en tiempo e incluso dinero para su recuperacin, y eso siempre y cuando sea posible ya que no siempre lo es, o por lo menos no totalmente. En un entorno empresarial esto es an ms grave ya que la disponibilidad de la informacin es fundamental para el correcto desarrollo de su actividad diaria.(2)Existen diferentes herramientas que ayudan en la recuperacin de datos, el anlisis de intrusos, proteccin de atacantes, entre otras que, con el conocimiento adecuado permitiran a las Pymes recuperar informacin perdida o incluso prevenir que suceda dicha perdida.(3)

Objetivo GeneralAnalizar los beneficios del uso de tcnicas y herramientas de forensics para apoyar a en la recuperacin y prevencin de prdida de datos en pequeas y medianas empresas.

Objetivos Especficos Determinar cules son las diferentes herramientas de forensics que existen en el mercado. Analizar las diferencias entre las herramientas de forensics. Determinar cul es el giro empresarial ms afectado por la prdida de informacin en Durango.Determinacin del tema de investigacin

Ilustracin 1Eleccin del tema de investigacin

IntroduccinContextoCon la adopcin cada vez ms frecuente de las tecnologas de informacin por las empresas, la dependencia de la informacin digital es cada vez mayor y por lo tanto se tienen que preparar y utilizar recursos para proteger dichos datos e inclusive recuperar algunos de esos datos que pueden llegar a perderse por distintos motivos principalmente por la accin de virus informticos(4). En algunos casos la perdida de informacin se debe a empleados descontentos que realizan fraudes y en esos casos se pueden llegar a acciones penales contra ellos, sin embargo para obtener las pruebas necesarias para proceder legalmente, es necesario el uso de tcnicas y herramientas tanto de software como de hardware (5) para obtener dichas pruebas, aunque dichas tcnicas y herramientas pueden ser usadas con otros propsitos como la proteccin de los datos para evitar su prdida o recuperar datos que fueron borrados accidentalmente y que son crticos para la empresa, ya que sta depende directamente de la informacin que generan sus sistemas de informacin(6).

Revisin de literaturaInformtica forense: Una valiosa herramienta para las PyMEsResumenEl constante incremento en el uso de las nuevas tecnologas de informacin por las empresas ha ocasionado una gran dependencia de las mismas, a causa de ello, por diversas razones, principalmente empleados descontentos, datos importantes para las empresas se pierden, generando prdidas econmicas. Existen diversas tcnicas de informtica forense que ayudan en la recuperacin de datos perdidos, incluso software especializado en informtica forense que puede ayudar a las empresas a evitar prdidas o en la recuperacin de datos y por lo tanto, evitar prdidas econmicas.Palabras clave: Informtica forense, software, tcnicas de forensics.

AbstractThe steady increase in the use of new information technologies the companies has led to a big dependency on them, because of it, for various reasons, mainly disgruntled employees, for business critical data is lost, causing economic losses. There are various techniques of computer forensics that help in the recovery of lost data, even software that specializes in computer forensics that can help companies to avoid or recover lost data and therefore, prevent economic losses.Key words: Forensics, software, forensics techniques

Costos asociados a la seguridad de la informacin en las empresas.Es difcil elegir o dar prioridad a solo algunos rubros que intervienen en los costos que implica la seguridad de la informacin. A continuacin se presenta un mapa mental para tratar de dejar ver un panorama general de la informacin.

Ilustracin 2 Principales rubros de costos asociados a la seguridad de la informacin en su organizacin(6)Con el grfico anterior se puede decir que si se tiene una especial importancia por las Tecnologas de Informacin (TI).La prdida de informacin sin una correcta planificacin e implementacin de medias de seguridad, podra requerir de una alta inversin en tiempo e incluso dinero para su recuperacin, y eso siempre y cuando sea posible ya que no siempre lo es, o por lo menos no totalmente. En un entorno empresarial esto es aun ms grave ya que la disponibilidad de la informacin es fundamental para el correcto desarrollo de su actividad diaria.(2)

Qu es la informtica forense?Existen mltiples definiciones a la fecha sobre el tema forense en informtica. Una primera revisin nos sugiere diferentes trminos para aproximarnos a este tema, dentro de los cuales se tienen: computacin forense, digital forensics (forensia digital), network forensics (forensia en redes), entre otros. La informtica forense se puede definir entonces como la disciplina cientfica y especializada que entendiendo los elementos propios de las tecnologas de los equipos de computacin ofrece un anlisis de la informacin residente en dichos equipos.(7)La informtica forense se ocupa de la utilizacin de los mtodos cientficos aplicables a la investigacin de los delitos, no solo informticos y donde se utiliza el anlisis forense de las evidencias digitales, en fin toda informacin o datos que se guardan en una computadora o sistema informtico. En conclusin diremos que la informtica forense es la ciencia forense que se encarga de la preservacin, identificacin, extraccin, documentacin y interpretacin de la evidencia digital, para luego sta ser presentada en una corte de justicia.(8)Si bien la informtica forense est encaminada a la resolucin de casos de ndole penal, las tcnicas y herramientas de las que hace uso, se pueden usar con otros fines, como la proteccin y recuperacin de datos informticos. Para ello se tienen que tener en claro las partes que pudieran estar involucradas en la prdida de informacin, para este propsito se han creado categoras a fin de hacer una necesaria distincin entre el elemento material de un sistema informtico o hardware (evidencia electrnica) y la informacin contenida en este (evidencia digital).(8)

Principios del forensics Existen un gran nmero de principios bsicos que son necesarios independientemente de si ests examinando un ordenador o un cadver:1. Evitar la contaminacin. En televisin salen los examinadores forenses ataviados con batas blancas y guantes, tomando las pruebas con pinzas y ponindolas en bolsas de plstico selladas. Todo ello es para prevenir la contaminacin.(9)2. Actuar metdicamente. En cualquier cosa que se haga, si se tuviera que ir a un juicio, se necesitara justificar todas las acciones que se hayan realizado. Si se actuara de manera cientfica y metdica, tomando cuidadosas notas de todo lo que se hace y como se hace, esta justificacin sera mucho ms fcil.(9)3. Cadena de evidencias. Significa que, en cualquier momento del tiempo, se pueda justificar quien ha tenido acceso y donde ha sido, eliminando as la posibilidad de que alguien haya podido sabotearlo o falsificarlo de alguna manera.(9)

Ilustracin 3. Etapas de una investigacin (10)

Herramientas tecnolgicasDe forma global, las herramientas tecnolgicas que hay son muchas a nivel mundial. Su funcionalidad como se menciono anteriormente viene a ser la de ayudar al perito que realiza una investigacin a encontrar mejores pruebas y de una forma ms exacta y precisa, y que a la postre, sirva como evidencia clara para el debido proceso penal.(11)Algunas de las herramientas que con frecuencia son utilizadas en procesos de informtica forense son: ENCASE. Es una de las herramientas clave que las fuerzas policiales han empezado a utilizar en tcnicas de investigacin ciberntica.(11) FORENSICTOOLKIT. Ofrece a los profesionales la capacidad de realizar exmenes forenses informatizados completos y exhaustivos(11).Herramientas de informtica forense de hardware y softwareUna herramienta forense produce resultados tiles, reproducibles y verificables. Las herramientas forenses pueden dividirse en dos grandes clases de herramienta: hardware y software.(5)Uso de herramientas de hardware. Las herramientas de hardware incluyen cada elemento externo a la computadora que se est analizando, tal como cables especializados, bloqueadores de escritura, extractores de dispositivos y otros utensilios que permiten que las herramientas de software funcionen.(5)Uso de herramientas de software(5)Las herramientas de software pueden tener muchas categoras dependiendo en como se quiera vulnerarlas. Algunas herramientas son multipropsito y pueden cubrir ms de un escenario, otras herramientas son altamente especializadas.Algunas de las principales categoras de herramientas forenses son: Herramientas de adquisicin Herramientas de descubrimiento de datos Herramientas de historial de internet

Causas de daosLa perdida de informacin ocurre por diversos motivos, de acuerdo a una encuesta realizada en 2008 a diversas organizaciones, los incidentes por virus ocurren cada vez ms frecuentemente, teniendo casi la mitad de las respuestas (un 49%), el segundo incidente ms comn son los abusos de redes con un 44%, seguidos por el robo de laptops y otros dispositivos mviles.(4)

Recuperando informacin de la computadora.Para entender cmo funciona la recuperacin de datos perdidos, primero hay que entender que la informacin se guarda en medios fsicos por lo tanto no existe como tal sino mas bien se encuentra latente como una forma metafsica por lo cual puede ser accedida de alguna manera. Los discos duros guardan la informacin de forma magntica y los datos se van sobrescribiendo, utilizando algunas tcnicas especializadas, es posible acceder a historiales magnticos de los datos borrados y recuperarlos.(12)

Preguntas de investigacin.Cul sector de empresas sera el ms beneficiado al implantar tcnicas y herramientas de forensics?Es necesario personal especializado para implantar las tcnicas de forensics?Con que frecuencia se pierden datos en las empresas?De los datos perdidos, qu cantidad es imprescindible para la empresa?Qu consecuencia trae consigo la perdida de informacin digital?

HiptesisLa adopcin de tcnicas y herramientas de informtica forense para la recuperacin y prevencin de datos por las empresas disminuir prdidas econmicas y operativas.

ConceptosPara la correcta comprensin del presente documento, es necesario conocer algunos conceptos importantes, a continuacin se presentan aquellos conceptos que se considera son los de mayor relevancia para el proyecto.Informtica o computacin forense: Segn el FBI, la informtica (o computacin) forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional.(13)La informtica forense hace entonces su aparicin como una disciplina auxiliar de la justicia moderna, para enfrentar los desafos y tcnicas de los intrusos informticos, as como garante de la verdad alrededor de la evidencia digital que se pudiese aportar en un proceso.(7)Dentro de la informtica forense, se pueden encontrar diferentes conceptos, tales como:Computacin forense (computer forensics) que se entiende por disciplina de las ciencias forenses, que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la informacin en los medios informticos para establecer los hechos y formular las hiptesis relacionadas con el caso; o como la disciplina cientfica y especializada que entendiendo los elementos propios de las tecnologas de los equipos de computacin ofrece un anlisis de la informacin residente en dichos equipos. (7)Forensia en redes (network forensics) Es un escenario an ms complejo, pues es necesario comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento especfico en el tiempo y un comportamiento particular. Esta conjuncin de palabras establece un profesional que entendiendo las operaciones de las redes de computadores, es capaz, siguiendo los protocolos y formacin criminalstica, de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su accin. A diferencia de la definicin de computacin forense, este contexto exige capacidad de correlacin de evento, muchas veces disyuntos y aleatorios, que en equipos particulares, es poco frecuente. (7)Forensia digital (digital forensics) Es la forma de aplicar los conceptos, estrategias y procedimientos de la criminalstica tradicional a los medios informticos especializados, con el fin de apoyar a la administracin de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (quin?, cmo?, dnde?, cundo?, porqu?) de eventos que podran catalogarse como incidentes, fraudes o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto de la administracin de la inseguridad informtica. (7)Importancia de la informtica forense "High-tech crime is one of the most important priorities of the Department of Justice". Con esta frase se puede observar cmo los crmenes informticos, su prevencin, y procesamiento se vuelven cada vez ms importantes.(14) Esto es respaldado por estudios sobre el nmero de incidentes reportados por las empresas debido a crmenes relacionados con la informtica.(15)Los investigadores de la computacin forense usan gran cantidad de tcnicas para descubrir evidencia, incluyendo herramientas de software que automatizan y aceleran el anlisis computacional.(14)Usos de la informtica forenseExisten varios usos que se le pueden dar a la informtica forense, y aunque algunos de ellos sean casos muy particulares relacionados con actividades legales, existen otros que estn ligados a la vida cotidiana.Prosecucin Criminal: la evidencia digital puede ser usada para incriminar y procesar diversos tipos de crmenes, incluyendo homicidios, fraude financiero, trfico y venta de drogas, evasin de impuestos o pornografa infantil. Litigacin Civil: Ayuda en los casos que tratan con fraude, discriminacin, acoso, divorcio, entre otros.Investigacin de Seguros: La evidencia encontrada en computadoras, ayuda a las compaas de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. Temas corporativos: Informacin que trata sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o propietaria, o an de espionaje industrial puede ser recolectada de las computadoras.

Metodologa general de la investigacinEn la presente investigacin se tendr como objeto de estudio las diferentes tcnicas y herramientas de forensics que las pymes del estado de Durango puedan usar para la recuperacin y/o prevencin de prdida de datos.La metodologa a seguir se basar en la aplicacin de encuestas con tendencias de seguridad de la informacin que se realizarn al personal del rea de sistemas de cada empresa, posteriormente se analizarn los resultados obtenidos de las encuestas utilizando weka, un software libre usado para el procesamiento de datos a travs de algoritmos de minera de datos (16).Descripcin de la metodologa seleccionada: materiales, mtodos, instrumentos, tcnicas, participantes.sta investigacin ser realizada mediante una investigacin aplicada, ya que se pretende que los resultados obtenidos sean puestos en prctica para contribuir a la mejora de la seguridad en la informacin de las Pymes en el estado de Durango, evitando o controlando la prdida de datos. MaterialesLos materiales requeridos para sta investigacin se resumen a: computadora; conexin a internet; artculos, libros, publicaciones dentro de los temas de forensics, recuperacin de informacin, Software de forensics; software de procesamiento de minera de datos, Diversos software de forensics.

MtodosPara la presente investigacin se har uso del Mtodo deductivo, ya que a partir de todos los aspectos que el computo forense(7) abarca solo se enfocar a aquellos que tengan que ver nica y exclusivamente con la prdida y recuperacin de datos.

Medidas e instrumentos de evaluacin Las medidas e instrumentos de evaluacin que sern utilizados durante el proyecto de investigacin son los resultados que sean arrojados por el software weka (16) as como una comparativa entre las caractersticas de cada uno de los software analizados..

TcnicasLas tcnicas establecidas para sta investigacin son: uso de tcnicas de minera de datos (17) a travs del software weka(16) siendo ste alimentado por las respuestas de las encuestas aplicadas, evaluacin de las caractersticas de los diferentes software de forensics.

ParticipantesLos participantes sern los las empresas en las que se encuentran realizando su residencia profesional los estudiantes de las carreras de Ingeniera en Sistemas Computacionales y Licenciatura en Informtica del Instituto Tecnolgico de Durango.

Introduccin a la informtica forense (forensics)La informtica forense est adquiriendo cada vez ms importancia en el rea de la informacin electrnica, esto debido al aumento del valor de la informacin as como al uso que se le da a sta, al desarrollo de nuevos lugares donde es usada (por Ej. Internet), y al extenso uso de computadoras por parte de las compaas de negocios tradicionales (por Ej. bancos). Es por esto que cuando se realiza un crimen, muchas veces la informacin queda almacenada en forma digital. Sin embargo, existe un gran problema, debido a que las computadoras guardan la informacin de informacin forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los tradicionales. Es de aqu que surge el estudio de la computacin forense como una ciencia relativamente nueva.Qu es forensics?Existen diversos conceptos acerca de forensics, sin embargo todos ellos van enfocados hacia la adquisicin, preservacin, y presentacin de datos que han sido procesados y guardados en un medio electrnico. Aunque el propsito inicial de forensics est orientado hacia aspectos legales las tcnicas y herramientas en las que se basa (18) pueden ser usadas con otros fines y dependiendo de por quin sean usadas, puede resultar en beneficio de las empresas y/o particulares.Cules son los objetivos de forensics?Los objetivos de forensics como tal, son los siguientes:(19)1. La compensacin de los daos causados por los criminales o intrusos. 2. La persecucin y procesamiento judicial de los criminales. 3. La creacin y aplicacin de medidas para prevenir casos similares.

Sin embargo, para los efectos de la presente investigacin se tomara como objetivo primordial de forensics el punto nmero 3 La creacin y aplicacin de medidas para prevenir casos similares, ya que lo que se busca es disminuir al mximo los riesgos de prdida de informacin en las empresas.Usos de forensicsForensics no est ligado nicamente hacia aspectos legales sino que puede abarcar varios aspectos generales entre ellos se pueden mencionar los siguientes: Prosecucin Criminal Litigacin Civil Investigacin de Seguros Temas corporativos Mantenimiento de la leyComo se puede observar, los diversos usos de forensics pueden ser desde aspectos simples como la perdida de informacin empresarial hasta casos graves como estafas bancarias, es por ello que se pueden usar las tcnicas y herramientas que usa forensics en varios escenarios.

Distincin entre documentos electrnicos y documentos impresos (20)Cuando se piensa en nuevas tecnologas (tales como documentos electrnicos) en trminos de tecnologa antigua (Papel y tinta), no se pueden apreciar las caractersticas y potenciales distintivos. Y esto se debe principalmente a la resistencia que tienen las personas al cambio, por ejemplo, cuando la electricidad se invento y los focos vinieron a reemplazar a las lmparas de gas, la gente cambiaba muy rpido los focos para que la electricidad no goteara sobre el socket. Se tuvieron que poner anuncios sobre los focos para que la gente los leyera Este cuarto est equipado con la luz elctrica Edison. No intente encenderla con un cerillo. Simplemente encienda el apagador que est en la pared cerca de la puerta. Todo esto se debe a la resistencia que tenan las personas en aquellos tiempos al cambio, estaban tan acostumbrados a utilizar lmparas de gas, cerillos y dems accesorios que cuando llego aquel descubrimiento tan innovador, lidiaron contra sus actividades cotidianas para dar paso a algo nuevo y benfico. Con los documentos electrnicos y los documentos tradicionales pasa lo mismo, la resistencia que tenemos para utilizar algo nuevo es muy grande, ya que se pueden pensar cosas como: Cmo se compartirn mis documentos? Cmo van a firmar mis documentos? Cmo almacenar mis documentos? Si tengo todos mis documentos en la computadora cualquier persona podr verlos, es preferible mantenerlos bajo llave en el archivero.La principal causa de los puntos antes mencionados es el desconocimiento del potencial de las nuevas tecnologas las cuales hacen de los documentos electrnicos una herramienta muy poderosa, y es por ello que las empresas han optado por cambiar paulatinamente hacia las nuevas tecnologas y dejar atrs los esquemas tradicionales de trabajo.Tcnicas de forensics Las tcnicas forenses son aquellas que surgen de una investigacin metdica para reconstruir una secuencia de eventos. Las tcnicas de forense digital son el arte de recrear que ha pasado en un dispositivo digital. Existen dos aspectos principales sobre los cuales trabajar:(21)Lo que hace un usuario en su equipo, Recuperacin de archivos eliminados Desencriptacin elemental Bsqueda de cierto tipo de archivos Bsqueda de ciertas frases Observacin de reas interesantes del computadorLo que hace un usuario remoto en otro equipo, Leer archivos de registro Reconstruir acciones Rastrear el origen Anlisis de conexiones desde o hacia el hostForensics hace uso de diversas tcnicas especializadas as como herramientas sofisticadas para ver informacin que no puede ser accedida por usuarios comunes. Esta informacin pudo haber sido borrada por el usuario meses o incluso aos antes de que se sucediera la investigacin o incluso pudo nunca haber sido guardada, pero puede aun existir en parte del disco duro.(22)Dependiendo de la naturaleza de la investigacin, puede ser recomendable la creacin de una imagen del disco, para as analizar nicamente la imagen y evitar la sobreescritura de informacin por el sistema operativo ya que en ocasiones el propio sistema operativo realiza actualizaciones sobre archivos automticamente. Por ejemplo, en un sistema Windows, ms de 160 alteraciones son realizadas a los archivos cuando la computadora es encendida. Dichos cambios no son visibles para el usuario, pero los cambios que pueden ocurrir pueden alterar o incluso borrar evidencia.(22)Cmo se puede recuperar evidencia borrada?El sistema operativo de una computadora utiliza un directorio que contiene el nombre y lugar de cada archivo en el disco. Cuando un archivo es borrado, varios eventos toman lugar en una computadora. Un marcador de estatus de archivo es activado para mostrar que el archivo ha sido borrado. Una marca de estatus de disco es colocada para mostrar que el espacio est disponible para otro uso. Con esto el usuario no podr ver el archivo listado en un directorio, sin embargo no se ha realizado ningn cambio al archivo mismo. ste espacio nuevo es llamado libre o sin asignar y hasta que sea escrito por otro archivo, el especialista forense puede obtener dicho archivo sin problema.En muchos casos, incluso cuando el usuario ha desfragmentado o reformateado un disco, la evidencia aun se puede recuperar. Muchos datos no son alterados por desfragmentar un disco, porque muchos documentos contienen informacin interna que describe fechas, usuarios y otros datos histricos que pueden ser tiles. Mientras que formatear un disco reconstruye el sistema de archivos, no elimina la informacin que previamente exista en el disco.

Funcionamiento de los dispositivos de almacenamientoLa mayor parte de los dispositivos de almacenamiento actuales, se basan en el principio magntico que se debe a los siguientes fenmenos fsicos: Una corriente elctrica produce un campo magntico. Algunos materiales se magnetizan con facilidad cuando son expuestos a un campo magntico dbil. Cuando el campo se apaga, el material se desmagnetiza rpidamente. En algunos materiales magnticos suaves, la resistencia elctrica cambia cuando el material es magnetizado. La resistencia regresa a su valor original cuando el campo magntico es apagado. Otros materiales se magnetizan con dificultad, pero una vez que se magnetizan, mantienen su magnetizacin cuando el campo se apaga.Estos cuatro fenmenos son explotados por los fabricantes de cabezas grabadoras magnticas, que leen y escriben datos, para almacenar y recuperar datos en unidades de disco. Aplicndolos en los siguientes puntos: (14) Cabezas de escritura: Escriben bits de informacin en un disco magntico giratorio. Cabezas de lectura: Leen bits de informacin. Medios de almacenamiento: son magnetizados de forma permanente en una direccin determinada por el campo de escritura.

Escritura de datos en dispositivos de almacenamientoEn la siguiente figura se muestra un esquema simplificado de una cabeza de escritura. La vista superior de una cabeza de escritura (izquierda) muestra un rollo espiral, envuelto entre dos capas de material magntico suave: a la derecha est un corte transversal de esta cabeza vista de lado. En el extremo inferior, hay un espacio entre las capas, y en el extremo superior, las capas estn unidas. Las capas superior e inferior de material magntico se magnetizan con facilidad cuando fluye una corriente elctrica en el rollo espiral, de tal forma que estas capas se vuelven los polos Norte y Sur magnticos de un pequeo electro-magneto. (En una cabeza real, la distancia desde el espacio hasta la parte superior del rollo es de aproximadamente 30 mm).(14)

Ilustracin 4 Una cabeza de escritura(14)Las computadoras almacenan los datos en un disco giratorio en forma de bits transmitidos a la unidad de disco en una secuencia de tiempo correspondiente a los dgitos binarios uno y cero. Estos bits son convertidos en una onda de corriente elctrica que es transmitida por medio de cables al rollo de la cabeza de escritura tal como se muestra en la siguiente figura. En su forma ms simple, un bit uno, corresponde a un cambio en la polaridad de la corriente, mientras que un bit cero corresponde a la ausencia de cambio en la polaridad de la corriente de escritura. En otras palabras los unos almacenados aparecen en donde ocurre una inversin en la direccin magntica en el disco y los ceros residen entre los unos.

Ilustracin 5 Escribiendo datos en un medio de almacenamiento(14)Un reloj de regulacin esta sincronizado con la rotacin del disco y existen celdas de bit para cada tic de reloj: algunas de estas celdas de bits representaran un uno y otras representaran ceros. Una vez escritos, los bits en la superficie del disco quedan magnetizados permanentemente en una direccin hasta que nuevos patrones sean escritos sobre los viejos.(14)

Lectura de datos en dispositivos de almacenamientoEn la actualidad, las cabezas de lectura leen datos magnticos mediante resistores magnticamente sensitivos llamados Vlvulas Spin que explotan el efecto GMR(23). Estas cabezas GMR/Vlvula Spin son situadas muy cerca del disco de almacenamiento magntico rotatorio exponiendo el elemento GMR a los campos magnticos de bit previamente escritos en la superficie del disco. Si la cabeza GMR se aleja ligeramente del disco la intensidad del campo cae por fuera de un nivel til y los datos magnticos no pueden ser recuperados fielmente. El proceso de lectura incluyendo el ruido, presente en cualquier dispositivo elctrico se esquematiza en la siguiente figura:

Ilustracin 6 Leyendo datos desde un medio de almacenamiento(14)Proceso de forensicsEl xito de forensics es el anlisis de discos duros, discos extrables, CD, discos SCSI y otros medios de almacenamiento. Este anlisis no solo busca archivos potencialmente incriminatorios o perdidos sino tambin otra informacin valiosa como contraseas, datos de acceso y rastros de actividad en internet.

Ilustracin 7 Metodologa de trabajo para anlisis de datos(21)Existen muchas formas de buscar evidencia en un disco, mas aun cuando los usuarios no tienen la mas mnima idea de cmo funcionan las computadoras y por lo tanto no hacen un mayor esfuerzo para borrar archivos.Identificacin de la evidencia digitalIdentificar la evidencia digital representa una tarea caracterizada por distintos aspectos. Entre ellos podemos mencionar el factor humano, que realiza los secuestros de material informtico, en muchos casos la identificacin y recoleccin de potencial evidencia digital es realizada por personal que no cuenta con los conocimientos adecuados para llevar a cabo las tareas en cuestin.La omisin de algunos aspectos tcnicos puede llevar a la perdida de los datos o a la imposibilidad de analizar cierta informacin digital.

Ilustracin 8 Elementos para la identificacin de evidencia.(21)

Extraccin y preservacin del material informtico.Extraer y preservar el material informtico durante los secuestros de informacin implica considerar la fragilidad de los medios de almacenamiento de datos y la volatilidad de la informacin. Sobre este aspecto cabe destacar que existe una gran falencia en lo que se conoce como cadena de custodia cuyo objetivo consiste en mantener el registro de todas las operaciones que se realizan sobre la evidencia digital en cada uno de los pasos de investigacin detallados. Si al realizar un anlisis de datos se detecta que la informacin original ha sido alterada, la evidencia pierde su valor probatorio.En cuestiones del transporte de la informacin digital, es muy comn que los elementos informticos lleguen sin los ms mnimos resguardos, lo cual puede ocasionar roturas en el equipamiento, o que la temperatura ambiente no sea la optima para preservar la informacin, incluso en algunos casos toparse con campos electromagnticos que imposibilitaran el anlisis de informacin.

Ilustracin 9 Elementos para la preservacin de evidencia(21)Por ltimo los aspectos tcnicos relativos a la no alteracin de la evidencia original. La utilizacin de algn software que genere un valor hash a partir de un conjunto de datos es de gran ayuda de tal manera que el experto en forensics puede estar seguro que trabaja con la informacin exacta y no corrupta.

Algoritmo de hashProbabilidad de colisin

CRC-161 en 32768

CRC-321 en 2147483648

MD5 (128 bits)1 en 170141183460469231731687303715884105728

SHA-11 en 2159

SHA-2561 en 2255

Tabla 1 Seguridad en algoritmos de hash (24)

Anlisis de datos.Analizar involucra aquellas tareas referidas a extraer evidencia digital de los dispositivos de almacenamiento, sin embargo dicha operacin puede ser un tanto tediosa, ya que se tienen que tomar en cuenta diversos factores, tales como el sistema operativo sobre el que se est trabajando, la estructura del sistema de archivos y la cantidad de documentos con los que cuenta el sistema. Es por ello que las herramientas de forensics incorporan un sistema de bsqueda a travs de palabras clave, o a travs de fechas, incluso la aplicacin de filtros para determinados tipos de archivos.

Ilustracin 10 Elementos para el anlisis de evidencia.(21)

Entre los recursos que un experto en forensics puede hacer uso para recuperar informacin de un dispositivo de almacenamiento, se encuentran los siguientes:File Slack (14, 25)Los archivos son creados en varios tamaos dependiendo de lo que contengan. Algunos sistemas operativos almacenan los archivos en bloques de tamao fijo llamados clster, en los cuales raramente el tamao de los archivos coincide perfectamente con el tamao de uno o muchos clsteres.El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final del clster se llama file slack. Los tamaos de los clsteres varan en longitud dependiendo del sistema operativo involucrado y en el caso de Windows, tambin del tamao de la particin lgica implicada.Un tamao ms grande en los clsteres significan mas file slack y tambin mayor prdida de espacio de almacenamiento. Sin embargo esta debilidad de la seguridad de la computadora crea ventajas para el experto en forensics ya que el file slack es una fuente significativa de evidencias y pistas.

Tabla 2 Area del file slack (18)

Archivo swap de Windows (14, 25)Los sistemas operativos Microsoft Windows utilizan un archivo especial como un cuaderno de apuntes para escribir datos cuando se necesita memoria de acceso aleatorio adicional, a estos archivos se les conoce como archivos Swap o archivos de intercambio.Los archivos de intercambio pueden ser muy grandes y la mayora de los usuarios no saben que existen, su potencial es contener archivos sobrantes del tratamiento de procesadores de texto, los mensajes electrnicos, la actividad en internet (cookies, archivos temporales, entre otros), log de entradas a bases de datos y casi cualquier trabajo que se haya ejecutado en las ltimas sesiones. Todo esto genera un problema de seguridad por que al usuario nunca se le informa que es lo que est pasando ya que el proceso es transparente.Los archivos swap de Windows proporcionan a los expertos en forensics pistas esenciales con las cuales investigar ya que nicamente en este archivo se encuentra la informacin y no se podra conseguir de otra manera.Unallocated file space (14, 26)Cuando los archivos son borrados o suprimidos, el contenido de los archivos no es verdaderamente borrado, a menos que se utilice algn software especial que ofrezca un alto grado de seguridad en el proceso de eliminacin, los datos borrados, permanecen en un rea llamada espacio de almacenamiento no asignado (unallocated file space). Igual sucede con el file slack asociado al archivo antes que este fuera borrado. Consecuentemente siguen existiendo los datos, escondidos, pero presentes y pueden ser detectados mediante herramientas de software para el anlisis de forensics.Herramientas de forensics Existen una gran cantidad de herramientas sobre las que los expertos en forensics (27) pueden valerse para utilizar las tcnicas antes mencionadas y realizar un proceso forense en una o varias computadoras, dichas herramientas pueden ser clasificadas en cuatro grupos principales para su mejor comprensin:Herramientas para la recoleccin de evidencia.Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace necesario debido a:1. La gran cantidad de datos que pueden estar almacenados en una computadora.2. La variedad de formatos de archivos, los cuales pueden variar enormemente, aun dentro del contexto de un mismo sistema operativo.3. La necesidad de recopilar la informacin de una manera exacta, y que permita verificar que la copia es exacta.4. Limitaciones de tiempo para analizar toda la informacin.5. Facilidad para borrar archivos de computadoras.6. Mecanismos de encriptacin o de contraseas.Entre las herramientas para la recoleccin de evidencia, se pueden mencionar Kazeon (www.kazeon.com), Digital Intelligence (www.digitalintelligence.com), X-Ways WinHex (www.x-ways.net/winhex), X-Ways Forensics (www.x-ways.net/forensics), Paraben (www.paraben.com), EnCase (www.guidancesoftware.com), FTK (www.accessdata.com), y Nuix (www.nuix.com), que son algunas de herramientas ms utilizadas en el mbito de la recoleccin de evidencia.(20)A continuacin se describen algunos de los mbitos que abarcan las herramientas para la recoleccin de evidencias, se enfocara especficamente sobre la herramienta EnCase, pero en general todas se basan en los mismos principios.(14, 28) Copiado comprimido de discos fuente. Emplea un estndar sin prdida para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes pueden ser analizados, buscados y verificados de manera semejante a los originales. Esta caracterstica ahorra cantidades importantes de espacio en el disco de la computadora donde se realizara el anlisis. Bsqueda y anlisis de mltiples partes de archivos adquiridos. Permite al experto buscar y analizar mltiples partes de la evidencia. Muchos expertos involucran una gran cantidad de discos duros, discos extrables, y otros dispositivos de almacenamiento. Con Encase se pueden analizar todos los posibles dispositivos a la vez, ahorrando tiempo. Diferente capacidad de almacenamiento. Los datos pueden estar en diferentes unidades (discos duros, CD, USB, etc.). Encase permite copiar de forma comprimida todos esos datos a un solo CD-ROM manteniendo la integridad del equipo original. Varios campos de ordenamiento, incluyendo estampillas de tiempo. Permite al especialista ordenar los archivos de acuerdo a diferentes campos incluyendo cuando se cre, ultimo acceso, ultima escritura, nombres de archivos, firma de archivos y extensiones. Anlisis compuesto del documento. Permite la recuperacin de archivos internos y metadatos con la opcin de montar directorios como un sistema virtual. Bsqueda automtica y anlisis de archivos de tipo Zip y attachments de e-mail Firmas de archivos, identificacin y anlisis. La mayora de las grficas y de los archivos de texto comunes contiene una pequea cantidad de bytes en el comienzo del sector los cuales constituyen una firma del archivo. Encase verifica dicha firma para cada archivo contra una lista de firmas conocidas de extensiones de archivos, si existe alguna discrepancia, como en el caso de que se haya renombrado un archivo, se detecta automticamente la identidad del archivo. Anlisis electrnico del rastro de intervencin. Sellos de fecha, sellos de hora, registros de accesos y la actividad del comportamiento reciclado son puntos crticos de una investigacin por computadora. Encase proporciona los nicos medios prcticos de recuperar y documentar dicha informacin de una manera no invasora y eficiente. Soporte de mltiples sistemas de archivo. Encase reconstruye los sistemas de archivos forense en DOS, Windows, Macintosh, Linux, UNIX, CD-ROM, y los sistemas de archivos DVD-R. Vista de archivos y otros datos en el espacio UNALLOCATED. Encase provee una interfaz tipo explorador de Windows y una vista del disco duro de origen, tambin permite ver los archivos borrados y todos los datos en el espacio unallocated. Tambin muestra el Slack File con un color rojo despus de terminar el espacio ocupado por el archivo dentro del clister. Integracin de reportes. Encase genera el reporte del proceso de la investigacin forense como un estimado. En dicho documento se realiza un anlisis y una bsqueda de resultados, en donde se muestra el caso incluido, la evidencia relevante, los comentarios del investigacin, favoritos, imgenes recuperadas, criterios de bsqueda y tiempo en que se realizaron las bsquedas. Visualizador integrado de imgenes con galera. Encase ofrece una vista completamente integrada que localiza automticamente, extrae y despliega muchos archivos de imgenes como .gif y .jpg del disco.

NombreDescripcinOpen Source / ComercialSistema Operativo

Enhanced_loopbackDuplicado forense y utilizacin como disco rgidoOpen sourceLinux

Cononer's toolkitNo analiza los datos, solamente obtiene informacin relevante para el anlisis. Incorpora un recuperador de ficheros borrados (lazarus) para cualquier Unix. Permite analizar los procesos en ejecucin.Open sourceLinux

The Sleuth KitRecuperacin de archivos borradosOpen sourceLinux - Windows

EncaseCopiado comprimido de discos fuenteBsqueda y anlisis de mltiples partes de archivos adquiridosDiferente capacidad de almacenamientoVarios campos de ordenamiento, incluyendo estampillas de tiempoAnlisis compuesto del documentoFirmas de archivos, identificacin y anlisisAnlisis electrnico del rastro de intervencinSoporte de mltiples sistemas de archivoVista de archivos y otros datos en el espacio UnallocatedIntegracin de reportesVisualizador integrado de imgenes con galeraComercialWindows

Forensic Tool KitPermite principalmente analizar la informacin relevada de un sistema.Manejo de imgenes de File systems Windows (NTFS, FAT) y Linux (ext2, ext3) realizadas con Encase, Smart, Snapback, Safeback y DD).Anlisis de archivos comprimidos (winzip, pkzip, rar, gzip, tar).Anlisis de correo electrnico, Identificacin de archivos tpicos del file system y programas, de evidencia, hashsets, etc.Generacin de reportes, acceso y desencriptado de datos protegidos y de registros.ComercialWindows - Linux

Tabla 3 Caractersticas de los principales software de "forensics"(21)

Herramientas de monitoreo y/o control de computadorasEn algunas ocasiones es necesario obtener informacin acerca del uso que se ha tenido en una determinada computadora, existen algunas herramientas que monitorean el uso de las computadoras para poder obtener informacin. Existen algunos programas simples como key loggers o recolectores de pulsaciones de teclado, que guardan informacin sobre las teclas que son presionadas hasta otros que guardan imgenes de la pantalla que ve el usuario de la computadora, incluso existen algunos casos en los que la computadora se controla de forma remota. (14)Keylogger (29)Keylogger es un ejemplo de herramientas de monitoreo y/o control de computadoras. Es una herramienta que puede ser til cuando se quiere comprobar actividad sospechosa: guarda los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de retroceder, esto es guardado en un archivo o enviado por e-mail. Los datos que se generan son complementados con informacin relacionada con el programa que tiene el foco de atencin, con anotaciones sobre las horas y con los mensajes que generan algunas aplicaciones.Herramientas de marcado de documentos(14)Estas herramientas ayudan en la recuperacin de documentos robados, ya que marcan los documentos y realizan una bitcora de accesos a ellos permitiendo saber al experto en forensics que acciones se realizaron sobre los archivos.Herramientas de hardware (14)Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe modificar la informacin, se han diseado varias herramientas como DIBS Portable Evidence Recovery Unit.Dificultades del experto en forensics(14)El investigador forense requiere de varias habilidades que no son fciles de adquirir, es por esto que el usuario normal se encontrar con dificultades como las siguientes:1. Carencia de software especializado para buscar la informacin en varias computadoras.2. Posible dao de los datos visibles o escondidos, an sin darse cuenta.3. Ser difcil encontrar toda la informacin valiosa.4. Es difcil adquirir la categora de experto para que el testimonio personal sea vlido ante una corte.5. Los errores cometidos pueden costar caro para la persona o la organizacin que representa.6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar los datos como evidencia.7. Falta de experiencia para mostrar, reportar y documentar un incidente computacional.8. Dificultad para conducir la investigacin de manera objetiva.9. Dificultad para hacer correctamente una entrevista con las personas involucradas.10. Reglamentacin que puede causar problemas legales a la persona.

Es por esto que, antes de lanzarse a ser un investigador forense, se necesita bastante estudio y experiencia, entre otras cosas, y si no se cumple con los requisitos, en caso de un accidente es aconsejable llamar a uno o varios expertos.

Seguridad forense en negocios. (30)En el mbito de los negocios es muy frecuente el uso de forensics para identificar y seguir la pista de: robos/destruccin de propiedad intelectual, actividad no autorizada, hbitos de navegacin por internet, reconstruccin de eventos, inferir intenciones, vender ancho de banda de una empresa, piratera de software, acoso sexual, reclamacin de despido injustificado.

Quin utiliza la seguridad forense. (30)Forensics es utilizada por un colectivo cada vez mayor de personas entre otros: Las personas que persiguen delincuentes y criminales. Se basan en las evidencias obtenidas de la computadora y redes que el investigador sospecha y utiliza como evidencia. Litigios civiles y administrativos. Los datos de negocios y personas descubiertos en una computadora se pueden utilizar en casos de acoso, discriminacin, divorcio, fraude, etc., o para mejorar la seguridad. Compaas de seguros. Las evidencias digitales descubiertas en computadoras se pueden utilizar para compensar costos (fraude, compensacin a trabajadores, incendio provocado, etc.+. Corporaciones privadas. Las evidencias obtenidas de las computadoras de los empleados pueden utilizarse en casos de acosos, fraude y desfalcos. Policas que aplican las leyes. Se utilizan para respaldar rdenes de registro y manipulaciones post-incautacin. Ciudadanos privados. Obtienen los servicios de profesionales en forensics para soportar denuncias de acosos, abusos, despidos improcedentes de empleo, o para mejorar la seguridad.

Fases de la seguridad forense (30)Las fases de forensics son:1. Adquisicin o recogida de datos de evidencias. Se trata de obtener posesin fsica o remota de la computadora, todas las correspondencias de red desde el sistema y dispositivos de almacenamiento fsico externo. Se incluye la autenticacin de evidencias, la cadena de custodia, la documentacin y la preservacin de evidencias.2. Identificacin y anlisis de datos. Identificar que datos pueden recuperarse y recuperarlos electrnicamente ejecutando diversas herramientas de forensics. Se realiza un anlisis automatizado con herramientas. El anlisis manual se realiza con experiencia y formacin.3. Evaluacin. Evaluar la informacin recuperada para determinar si es til para los fines que se requieran.4. Presentacin de los descubrimientos. Presentacin de evidencias descubiertas de manera que sean entendidas por cualquier persona no tcnica. Puede ser una presentacin oral o escrita.

Algunas de las debilidades del proceso forense son: En el proceso de recogida de datos. Si se identifica una cadena de custodia o recogida de datos incompleta. En la fase de anlisis de datos. Si se utiliza una metodologa, formacin o herramientas inadecuadas En la fase de presentacin de los descubrimientos. Si existe facilidad para sembrar la duda en los hallazgos presentados. Se trata entonces de actuar y explotar vulnerabilidades en las tres reas.

Retos de forensics(30)La informacin y datos que se buscan despus del incidente y se recogen en la investigacin deben ser manejados adecuadamente. Estos pueden ser: 1. Informacin voltil. Tanto: a. Informacin de red. Comunicacin entre el sistema y la red. b. Procesos activos. Programas actualmente activos en el sistema. c. Usuarios logeados. Usuarios y empleados que actualmente utilizan el sistema. d. Archivos abiertos. Libreras en uso, archivos ocultos, troyanos/rootkit cargados en el sistema. 2. Informacin no voltil. Se incluye informacin, datos de configuracin, archivos del sistema y datos del registro que son disponibles despus del re-arranque.

Incidentes de seguridad (8)Cuando se est a cargo de la administracin de seguridad de un sistema de informacin o una red, se debe estar familiarizado con las bases de forensics, esto en razn de que cuando ocurre un incidente de seguridad, es necesario que dicho incidente sea reportado y documentado a fin de saber qu es lo que ocurri. No importa qu tipo de evento haya sucedido, por ms pequeo e insignificante que pueda ser, este debe ser verificado con el fin de sealar la existencia o no de un riesgo para el sistema informtico.Un incidente informtico en el pasado era considerado como cualquier evento anmalo que pudiese afectar a la seguridad de la informacin, por ejemplo podra ser una prdida de disponibilidad o integridad o de la confidencialidad, Pero con la aparicin de nuevos tipos de incidentes ha cambiado su definicin ya que ahora puede considerarse como una violacin o intento de violacin de la poltica de seguridad de los sistemas informticos.Para comprender mejor el tema de seguridad, es necesario sealar algunos conceptos utilizados dentro de la seguridad informtica definida como El conjunto de tcnicas y mtodos que se utilizan para proteger tanto la informacin como los equipos informticos en donde esta se encuentra almacenada ya sean estos individuales o conectados a una red frente a posibles ataques premeditados y suceso accidentales.(8)

La seguridad informtica puede ser dividida en seis componentes: Seguridad fsica: es aquella que tiene relacin con la proteccin de la computadora en si evitando cualquier tipo de dao fsico. Seguridad de datos: Es la que seala los procedimientos necesarios para evitar el acceso no autorizado, permite controlar el acceso remoto de la informacin. Back up y recuperacin de datos: Proporciona los parmetros bsicos para la utilizacin de sistemas de recuperacin de datos y respaldos de los sistemas informticos. Seguridad normativa: Conjunto de normas y criterios bsicos que determinan lo relativo al uso de los recursos de una organizacin cualquiera. Se deriva de los principios de legalidad y seguridad jurdica. Anlisis forense: Surge como consecuencia de la necesidad de investigar los incidentes de seguridad informtica que se producen en las entidades. Persigue la identificacin del autor y del motivo del ataque, igualmente trata de hallar la manera de evitar ataques similares en el futuro.

Los incidentes de seguridad en un sistema de informacin pueden caracterizarse modelando el sistema como un flujo de mensajes de datos desde una fuente, como por ejemplo un archivo o una regin de la memoria principal, a un destino, como por ejemplo otro archivo o un usuario. Un incidente no es ms que la realizacin de una amenaza en contra de los atributos funcionales de un sistema informtico.

Ilustracin 11 Categoras generales de incidentes(8)Como se puede observar en la figura anterior, los incidentes pueden ser clasificados en cuatro categoras.Interrupcin. Un recurso del sistema es destruido o se vuelve no disponible. Se trata de un ataque contra la disponibilidad.Intercepcin. Una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad.Modificacin. Una entidad no autorizada no solo consigue acceder a un recurso, sino que es capaz de manipularlo. Es un ataque contra la integridad.Fabricacin. Una entidad no autorizada inserta objetos falsificados en el sistema. Es un ataque contra la autenticidad.

Forensia en redes (Network Forensics)Si forensics es un campo relativamente nuevo en los cuestiones de cmputo, la forensia en redes, est en paales. Se tiene que pensar en dos cambios primordiales al hablar de network forensics, la tecnologa y sus mtodos son ms que solo administracin de una red y los costos de dispositivos de almacenamiento estn al alcance de cualquier persona. Ahora se pueden almacenar Terabytes de datos en una red, sin romper el banco de almacenamiento.(31)La forensia en redes es un escenario aun ms complejo, ya que es necesario comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento especifico en el tiempo y un comportamiento particular. Esta conjuncin de palabras establece un profesional que entendiendo las operaciones de las redes de computadoras, es capaz de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su accin. A diferencia de la definicin de forensics, este contexto exige capacidad de correlacin de evento, muchas veces disyuntos y aleatorios, que en equipos particulares, es poco frecuente.(7)Las redes son conexiones de un gran volumen de trfico lo que las hace un verdadero reto para los especialistas. Encontrar la herramienta adecuada para una situacin en especfico puede ser difcil, ms no imposible. El trabajar con herramientas de network forensics es un proceso complejo pero hacen el trabajo ms fcil al automatizar la mayor parte de las tareas de adquisicin de datos.

Presupuesto de la investigacin.Para la presente investigacin se cuenta con un presupuesto un tanto reducido, sin embargo por la naturaleza de la investigacin ms que nada se requiere bibliografa dentro de la cual la mayor parte de los libros no se consiguen en Mxico y probablemente habra que comprarlos en el extranjero, el presupuesto para la compra de bibliografa es de $5000.00 pesos mexicanos. Por otro lado, para la elaboracin de encuestas se tratar de comunicarse va electrnica con los diferentes encargados del rea de computacin, en cuanto a viticos y transporte se cuenta con $3000.00. Para la evaluacin del software se buscar aquel que ofrezca un periodo de prueba para su uso, evitando as la compra del mismo.

ProcedimientoSe redact una encuesta basada en una serie de preguntas realizadas por una empresa espaola(16) para evaluar la seguridad de las empresas a las que brinda consultora, adicionalmente se agregan algunas preguntas que ayudan a orientar el propsito de la encuesta conforme al objetivo de la investigacin, quedando con la siguiente estructura:Encuesta

Nombre de la empresa: _______________________________________________________________

Poltica Global de Seguridad

SINO

1. Ha tenido en cuenta la posibilidad de perder informacin, que se la roben, que no sea correcta?

2. Se ha definido una poltica global de seguridad en la empresa?

3. Existen controles que detecten posibles fallos en la seguridad?

4. Se ha definido el nivel de acceso de los usuarios?, es decir, a qu recursos tienen acceso y a qu recursos no.

Agresiones fsicas externas

5. Existen filtros y estabilizadores elctricos en la red elctrica de suministro a los equipos?

6. Tienen instaladas fuentes de alimentacin redundantes?

7. Tienen instalados Sistemas de Alimentacin Ininterrumpida?

Controles de acceso fsico

8. Existe algn control que impida el acceso fsico a los recursos a personal no autorizado? (Puertas de seguridad, alarmas, controles de acceso mediante tarjetas. )

9. Existe algn mecanismo fsico que impida el uso de los sistemas de informacin a mecanismos no autorizados?

Servidores

10. Existen sistemas operativos servidores, que impiden el acceso a los datos a los usuarios no autorizados?

11. Estn los servidores protegidos en cuanto a inicio de sesin y accesos a travs de la red?

12. Tienen instaladas fuentes de alimentacin redundantes?

13. Tienen instalados Sistemas de Alimentacin Ininterrumpida?

14. Tienen discos RAID?

Copias de seguridad

15. Con qu periodicidad se realizan copias de los datos? a) Diario b) Cada 3 dias c) Semanal d) Mensual e)Bimestral f)Semestral g)Anual e) No se realizan copias de seguridad

16. Existe un procedimiento de copia de seguridad?

17. Est automatizado el proceso de copia de seguridad?

18. Se almacenan las copias de seguridad en un lugar de acceso restringido?

19. Se almacena alguna copia fuera de los locales de trabajo?

20. Ha probado a restaurar alguna copia de seguridad?

Mecanismos de identificacin y autenticacin

21. Existe un procedimiento de Identificacin y Autenticacin?

22. Est basado en contraseas?

23. Las contraseas se asignan de forma automtica por el servidor?

24. Existe un procedimiento de cambio de contraseas?

Controles de acceso

25. Existen controles para el acceso a los recursos?

26. Existen ficheros de log o similares que registren los accesos autorizados y los intentos de acceso ilcitos?

27. Una vez pasados los filtros de identificacin, se han separado los recursos a los que tiene acceso cada usuario?

Virus

28. Tiene cuentas de correo electrnico de Internet?

29. Tiene antivirus corporativo?

30. Protege su antivirus los correos electrnicos y la descarga de archivos va Web?

31. Actualiza regularmente el antivirus?

32. Ha tenido alguna vez problemas con algn virus en su sistema?

Planes de seguridad y contingencias

33. Se ha elaborado un plan de seguridad?

34. Existe un responsable o responsables que coordinen las medidas de seguridad aplicables?

35. Existe un plan de contingencias?

36. Existe un presupuesto asignado para la seguridad en la empresa?

37. Se ha elaborado un plan de seguridad?

38. Se han incluido en el mismo los aspectos relacionados con las comunicaciones?

39. Realiza el seguimiento del plan de seguridad personal de la empresa?

40. Existe un contrato de mantenimiento en el que se priorice la seguridad y el plan de contingencias?

41. Dispone de personal informtico involucrado directamente con la seguridad informtica?

Acceso a internet

42. Existe una poltica definida para los accesos a Internet?

43. Se ha explicado claramente a los trabajadores de la empresa?

44. Existe un acceso a Internet corporativo?

45. Est limitado el acceso por departamento y/o por usuario?

46. Existen controles sobre las pginas accedidas por cada departamento o usuario?

47. Existen controles sobre intrusiones externas en nuestro sistema de informacin?

Prdida de informacin

48. En el ltimo semestre Cuntas veces ha sufrido de prdida de informacin?a) Menos de 5 veces b) Entre 5 y 10 veces c) Ms de 10 veces d) Ninguna

49. Qu importancia o prioridad tena dicha informacin para la empresa?a)Muy importante b)Importante c)Poco importante

50. Qu importancia o prioridad tena dicha informacin para su persona?a)Muy importante b)Importante c)Poco importante

51. Cul fue la causa de la prdida de informacin?a) Accidental b)Virus c) Dao de hardware d) Intrusin en el equipo

52. La prdida de informacin fue un desencadenante para la prdida de recursos monetarios?

53. De haber perdido recurso monetario, aproximadamente cual fu el monto?a) menos de $5000 b) entre $5000 y $10000 c) entre $10000 y $20000 d)ms de $20000

54. Cmo se llev a cabo la recuperacin de datos?a) No se recuperaron los datos b) Copia de respaldo c) Empresa externa realiz la recuperacin d) El encargado del depto. De informtica lo hizo

55. Si una empresa externa realiz la recuperacin de datos, Cual fu el costo de dicho trabajo?a) menos de $500 b) entre $500 y $1000 c) entre $1000 y $5000 d) ms de $5000

56. Considera que el pago realizado fue:a) Bajo c) Justo d)Alto

Para la aplicacin de la encuesta los alumnos del Instituto Tecnolgico de Durango de la materia de Tpicos avanzados de bases de datos del ciclo escolar Agosto Diciembre 2011 se dieron a la tarea de visitar empresas de la comunidad para realizar las preguntas. Cabe mencionar que en algunas de las empresas se negaban a contestar la encuesta por la naturaleza de las preguntas que, en algunos casos, son de ndole privado, por dicha razn en algunos casos la empresa contest la encuesta con la condicin de no revelar el nombre de la misma en los resultados de la investigacin, mismos que se pueden ver en el anexo.Dentro de las empresas que permitieron revelar su nombre se encuentran: Malda Arquitectos, Vidrios vargas, Calderon Sa de CV, Farmacia Durango., banquetes Beluvida , contrucciones Rosbad, Lab. Amcci, CETS, Rest. Boolovan, Alum dgo, Finansas, XIFER, Stieefel, Lab. Nova , Lab. Guadiana, Acabados Carrera, Lab. Civic, Vidrios Rosales, Vidrios Moreno, CID construcciones, CMIC, Acerradero Serrano, Muebles serrano, Toyota, LALA, Compufcil, Intercraft.Anlisis de la informacin

Referencias

1.Vacca JR. Computer Forensics: Computer crime scene investigation 2nd edition. 2 ed. Boston, Massachusetts: Charles River Media, Inc.; 2005.2.Cerpa JJ. Como prevenir la prdida de informacin? Seguridad de la informacin2009. p. Blog dedicado a temas de seguridad de informacion, proteccion de datos, seguridad de informtica, auditorias y peritajes informaticos e informtica forense.3.Casey E. Handbook of computer crime investigation: forensic tools and technology: Academic Pr; 2002.4.Richardson R, Director C. CSI computer crime and security survey. Computer Security Institute. 2007:2008-08.5.Davis C, Philipp A, Cowen D. Hacking exposed computer forensics: secrets & solutions: McGraw-Hill Osborne Media; 2005.6.Lopez J. Cales son los principales rubros de costos asociados a la seguridad de la informacin en su organizacin? SISTEMAS. 2006:35.7.Cano JJ. Introduccin a la informtica forense. SISTEMAS. 2006:64-73.8.Pino SAd. Informtica forense en el ecuador. Introduccin a la informtica forense. Ecuador2007.9.Biles S. Digital forensics. Hacker Highschool. 2004(8).10.Cambrn MB. Anlisis Forense Informtico: Automatizacin de procesamiento de Evidencia Digital. Automatizacin de procesos en anlisis forense informtico; Montevideo: CIBSI09; 2009.11.Arias Chaves M. Panorama general de la informtica forense y de los delitos informaticos en Costa Rica. InterSedes: Revista de las Sedes Regionales. 2006;7(12):141-54.12.Noblett M, Pollitt M, Presley L. Recovering and examining computer forensic evidence. Forensic Science Communications. 2000;2(4):102-9.13.Noblett. MG. Recovering and Ecaminig Computer Forensic Evidence. 2000.14.Oscar Lopez HA, Ricardo Leon. Informatica forense: generalidades, aspectos tecnicos y herramientas. Morelia, Mexico2002.15.CERT Statistics (Historical). 2008 [cited 2010 2 Diciembre 2010]; Sitio dedicado a la recoleccion de informacion de las vulnerabilidades existentes en internet.]. Available from: http://www.cert.org/stats/cert_stats.html.16.complusoft. MD802CS Encuesta 01 Seguridad informtica. Alcal de Henares, Madrid2006 [cited 2011 30/07/2011]; Cuestionario para evaluar los niveles de seguridad informtica en las empresas]. Available from: www.complusoft.es.17.Frand J. Data Mining: What is Data Mining? 1996 [cited 2010 06/12/2010]; Available from: http://www.anderson.ucla.edu/faculty/jason.frand/teacher/technologies/palace/datamining.htm.18.Young S, editor. Forensic Analysis. An organization for local information security; 2005.19.Giovanni Zuccardi JDG. Informtica Forense. 2006.20.Linda Volonino IR. e-discovery for dummies: Willey Pubishing, Inc; 2010.21.Acosta Gonzalo AA, Rodriguez Gabriel, Rossi Eduardo. Informatica forense. 2007.22.Hassell J. Computer forensics 1012004: Available from: http://www.expertlaw.com/library/forensic_evidence/computer_forensics_101.html.23.The giant magnetoresistive head: a giant leap for IBM Research: Available from: http://www.research.ibm.com/research/gmr.html.24.Lyle J. Verification of digital forensic tools. 2010.25.File Slack Defined.26.unallocated file space defined.27.Computer forensics tools, digital evidence software, utilities.28.software G. EnCase Forensic Features and Functionality.29.Keylogger. [7/12/2010]; Available from: http://keylogger.com/.30.Bertolin JA. Seguridad forense, tcnicas antiforenses, respuesta a incidentes y gestin de evidencias digitales. 2010.31.Linda Volonino RA. Computer forensics for dummies2008.

ANEXO1. Resultados de las encuestasEn que formato?UNID 2010Pgina 4