RETROALIMENTACION DE LA INFORMATICA FORENSE

Transcripción

1 Fundación Universitaria de Popayán. Muñoz, Certuche, Amador, Muñoz. Retroalimentación Informática Forense 1 RETROALIMENTACION DE LA INFORMATICA FORENSE Oscar Andrés Muñoz, Oscar.andres.mb8414@hotmail.com, Julián Andrés Certuche, jack022840@hotmail.com Siler Amador Donado, siler.amador@fup.edu.co, Luis Freddy Muñoz Sanabria, lfreddyms@fup.edu.co Fundación Universitaria de Popayán Resumen La Informática Forense está adquiriendo gran importancia dentro de la información electrónica, debido a que nos garantiza la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información. El Análisis Forense Informático es la técnica de capturar, procesar e investigar información procedente de sistemas informáticos, utilizando una metodología con el fin de que pueda ser utilizada en la justicia. La aplicamos una vez que tenemos un incidente y queremos investigar qué fue lo que pasó, quién fue y cómo fue, y lo hacemos analizando sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial. Existe una variedad de herramientas para realizar el análisis forense. La elección correcta dependerá de la complejidad del análisis y de los componentes involucrados. Cuánto es el tiempo mínimo expresado para resolver un caso forense? Esta pregunta está debidamente proporcionada a la capacidad que tengan los investigadores forenses en la recolección de la información, y de los respectivos procedimientos protocolarios que estos utilicen para hacer el levantamiento de la evidencia, de acuerdo con los aspectos dentro de las metodologías forenses [1] los pasos que se consideran más recomendables para realizar el debido levantamiento de la evidencia, genéricamente se puede decir que son aquellos que permiten aislar totalmente el objeto de investigación de alguna acción externa que pueda interferir para que este pueda ser alterado, como también su entorno (alrededores) porque proporciona una gran probabilidad de que se pueda encontrar evidencia potencial que pueda definir o afinar el caso forense, ampliando estos términos genéricos en sus procesos forenses puntuales internos que garantizan el buen levantamiento de la evidencia [1]. También es de tener en cuenta la cantidad de evidencia que se tiene para análisis, porque no es lo mismo analizar 1GB de evidencia que analizar 200GB, entonces también es un punto influyente para determinar la duración del análisis de un caso forense. I. INTRODUCCIÓN El siguiente articulo hace referencia y contextualiza los métodos y procedimientos que fueron llevados a cabo en el artículo de referencia llamado métodos y procedimientos de la informática forense en cuyo contexto enfoca muy bien las formas y maneras de tratar un caso forense desde que este hace el uso de los métodos de recolección de la evidencia, las herramientas forenses las cuales son necesarias para realizar los procedimientos de recolección de la evidencia y también de la búsqueda de esta, de lo cual el presente artículo tomara como punto de partida buscando así una segunda evaluación acerca de los métodos que fueron utilizados para poder encontrar la evidencia que se ejemplifico en un caso generalizado en dicho artículo. RETOS DE LA INFORMATICA FORENSE No existe ninguna duda de que la comentada mejora tecnológica está permitiendo un desarrollo superior para las empresas, la educación, la investigación,

2 Fundación Universitaria de Popayán. Muñoz, Certuche, Amador, Muñoz. Retroalimentación Informática Forense 2 etc. y que por lo tanto sus beneficios sociales son evidentes. Sin embargo, es también cierto que puede observarse igualmente un desarrollo tecnológico en la delincuencia. Este hecho se ve plasmado en la utilización de potentes ordenadores, cifrado de comunicaciones, almacenamiento cifrado de información y en definitiva tecnología de vanguardia que les permite ocultar sus operaciones, una mayor coordinación entre sus integrantes y, en último caso, poder eludir sus responsabilidades ante la justicia. Parece razonable que sea necesario un tiempo de adaptación para que, tanto las fuerzas de Seguridad del estado como la judicatura, puedan combatir los denominados delitos tecnológicos. Asimismo, cabe apuntar que el tratamiento informatizado de informaciones digitales posee determinadas características intrínsecas que no pueden ser dejadas de lado puesto que condicionan su tratamiento. Este hecho provoca situaciones totalmente distintas a las que existían en tiempos pretéritos ya que: cuando se sustraen informaciones, éstas siguen estando allí donde se tomaron. la copia realizada puede ser totalmente idéntica al original de las mismas. los datos pueden arrebatarse por conductos digitales sin interacción física con el repositorio de los mismos. la información puede ser ocultada, o incluso cifrada, de forma que no pueda ser detectada. la información puede ser distribuida en pocos segundos a numerosos lugares de todo el mundo. y, por último, la información puede eliminarse sin que exista forma alguna de recuperarla. De esta manera, y aunque puede que los objetivos de los delitos no hayan variado, es evidente que han aparecido nuevas formas en las que los delincuentes intentan alcanzarlos. A este respecto es habitual que cuando los delincuentes son detenidos la mayoría de sus datos se encuentren almacenados en su ordenador y, que el análisis exhaustivo de éste sea un paso clave para el descubrimiento de pistas y pruebas de gran importancia para el proceso judicial En particular, este artículo versa sobre la cada vez más trascendental informática forense, sus técnicas y herramientas son de utilidad en la recuperación de evidencias digitales, las cuales no sólo pueden ser utilizadas en los procesos judiciales, sino que además son usadas para el estudio de ordenadores que han sufrido algún incidente de seguridad. En este último caso, las técnicas de informática forense representan un paso fundamental en los planes de actuación ante incidentes, ya que son la única forma de estudiar las causas internas de los mismos y, por ende, de corregir y prevenir su repetición. Una definición aceptada de informática forense es la siguiente El proceso de identificación, preservación, análisis y presentación de evidencias digitales. Además, y como dificultad añadida al citado proceso, en caso de que el análisis forense vaya a ser utilizado con propósitos legales, las técnicas y herramientas utilizadas deben ser extremadamente escrupulosas con el mantenimiento de la integridad de las evidencias, evitando cualquier tipo de modificación de las mismas, aunque éstas fueran accidentales. Por lo tanto, y debido a las comentadas características de la información digital, son muchas las restricciones asociadas a las técnicas de la informática forense. La informática forense nos ayuda a contrarrestar los posibles ataques que haya realizado un hacker en algún caso en general? No existe ninguna duda de que la comentada mejora tecnológica está permitiendo un desarrollo superior para las empresas, la educación, la investigación, etc. y que por lo tanto sus beneficios sociales son evidentes. Sin embargo, es también cierto que puede observarse igualmente un desarrollo tecnológico en la delincuencia. Este hecho se ve plasmado en la utilización de potentes ordenadores, cifrado de comunicaciones, almacenamiento cifrado de información y en definitiva tecnología de vanguardia que les permite ocultar sus operaciones, una mayor coordinación entre sus integrantes y, en último caso, poder eludir sus responsabilidades ante la justicia. Parece razonable que sea necesario un tiempo de adaptación para que, tanto las fuerzas de Seguridad del estado como la judicatura, puedan combatir los denominados delitos tecnológicos. Asimismo, cabe apuntar que el tratamiento informatizado de informaciones digitales posee

3 Fundación Universitaria de Popayán. Muñoz, Certuche, Amador, Muñoz. Retroalimentación Informática Forense 3 determinadas características intrínsecas que no pueden ser dejadas de lado puesto que condicionan su tratamiento. Este hecho provoca situaciones totalmente distintas a las que existían en tiempos pretéritos ya que: > Cuando se sustraen informaciones, éstas siguen estando allí donde se tomaron. > La copia realizada puede ser totalmente idéntica al original de las mismas. > Los datos pueden arrebatarse por conductos digitales sin interacción física con el repositorio de los mismos. > La información puede ser ocultada, o incluso cifrada, de forma que no pueda ser detectada. > La información puede ser distribuida en pocos segundos a numerosos lugares de todo el mundo. > Por último, la información puede eliminarse sin que exista forma alguna de recuperarla. De esta manera, y aunque puede que los objetivos de los delitos no hayan variado, es evidente que han aparecido nuevas formas en las que los delincuentes intentan alcanzarlos. A este respecto es habitual que cuando los delincuentes son detenidos la mayoría de sus datos se encuentren almacenados en su ordenador y, que el análisis exhaustivo de éste sea un paso clave para el descubrimiento de pistas y pruebas de gran importancia para el proceso judicial En particular, este artículo versa sobre la cada vez más trascendental informática forense, sus técnicas y herramientas son de utilidad en la recuperación de evidencias digitales, las cuales no sólo pueden ser utilizadas en los procesos judiciales, sino que además son usadas para el estudio de ordenadores que han sufrido algún incidente de seguridad. En este último caso, las técnicas de informática forense representan un paso fundamental en los planes de actuación ante incidentes, ya que son la única forma de estudiar las causas internas de los mismos y, por ende, de corregir y prevenir su repetición. I. EXAMINACION DE LAS HERRAMIENTAS FORENSES Las herramientas utilizadas para la recolección de la información embebidas en la maquina forense cuya función es la de almacenar la evidencia forense y analizarla son muy variadas y hay diferentes versiones que demuestran tener la cobertura necesaria en servicios para enfrentar un caso forense respectivamente, una buena versión de herramientas forenses entre muchas otras es llamada HELIX la cual goza con una buena y amplia capacidad en herramientas forenses las cuales hacen de esta herramienta bastante completa para poder realizar y afrontar cualquier tipo de caso forense donde se amerite un manejo avanzado de la evidencia. Existe una gran variedad de herramientas forenses informáticas entre las más destacadas se tienen las siguientes: Sleuth Kit (Forensics Kit), Py-Flag (Forensics Browser), Autopsy (Forensics Browser for Sleuth Kit), dcfldd (DD Imaging Tool command line tool and also works with AIR), foremost (Data Carver command line tool), Air (Forensics Imaging GUI), md5deep (MD5 Hashing Program), netcat (Command Line), cryptcat (Command Line), NTFS-Tools, Hetman software (Recuperador de datos borrados por los criminales), qtparted (GUI Partitioning Tool), regviewer (Windows Registry), Viewer, X-Ways WinTrace, X-Ways WinHex, X- Ways Forensics, R-Studio Emergency (Bootable Recovery media Maker), R-Studio Network Edtion, R-Studio RS Agent, Net resident, Faces, Encase, Snort, Helix, Herramientas para análisis de discos duros AccessData Forensic ToolKit (FTK) Guidance Software EnCase Herramientas para analisis de correos electrónicos Paraben Heramientas para el análisis de redes

4 Fundación Universitaria de Popayán. Muñoz, Certuche, Amador, Muñoz. Retroalimentación Informática Forense 4 E-Detective - Decision Computer Group, SilentRunner Accessdata, Encase Enterprise Herramientas para filtrar y monitorear el tráfico de una red tanto interna como a internet. Herramientas para el análisis de USB s USBDeview [9]. A. CREACION DE UNA IMAGEN La creación de la imagen planteada por el articulo enmarcada y practicada en Windows por el autor, resalta que para poder levantar una evidencia o creación de una imagen forense bajo este Sistema Operativo solo puede ser llevada a cabo teniendo en cuenta precauciones de modo de sobre escritura, es decir plantea que para poder realizar una creación de una imagen efectiva y confiable sin preocuparse por la modificación de esta en su destino, es necesario tener en cuenta algún tipo externo físico de bloqueo de escritura en éste para el traspaso de la evidencia forense, ya que los sistemas Windows hacen este proceso en modo de lectura y escritura por defecto haciendo así vulnerable a la evidencia del caso. Lo anterior es cierto pero en necesario resaltar que si existen herramientas forenses basadas en Windows que van incluidas en ellas características básicas acerca de la protección de la evidencia forense como tal, del bloqueo de lectura y escritura de la imagen forense, como también la generación de un reporte con todas las características tanto lógicas (archivos) como físicas de la evidencia incluyendo entre ellas el hash md5 que identifica a la evidencia en un momento determinado, resaltando también que el proceso planteado por el autor del artículo no es el único método fiable y más notable que se puede realizar para la creación de una imagen forense en un Sistema Operativo Windows. Por otra parte, el autor debió tener en cuenta el aspecto económico del proceso. Este hace que también se pueda poner en duda la aplicación de este método, ya que no en todos los casos de recolección de evidencia forense no se van a tener a la mano este tipo de herramientas, haciendo que tenga más valor alternativo un Software libre que contiene más características forenses y cuyo bajo presupuesto se acomoda a casi cualquier perfil investigativo y que cumple con las mismas especificaciones. Las versiones de Software forense para Linux normalmente cumplen con estos requisitos haciendo que sea más viable y fácil poder trabajar desde un Sistema Operativo como este. El estándar a nivel mundial en computación forense donde es utilizado por más de investigadores y profesionales de la seguridad la policía, el gobierno, los militares y los investigadores corporativos confían en ENCASE edición forense para ejecutar exámenes informáticos dedicados y conclusivos. Al Hablar de informática forense sin revisar algunas ideas sobre herramientas es hablar en un contexto teórico de procedimientos y formalidades legales. Las herramientas informáticas, son la base esencial de los análisis de las evidencias digitales en los medios informáticos. Sin embargo, es preciso comentar que éstas requieren de una formalidad adicional que permita validar tanto la confiabilidad de los resultados de la aplicación de las mismas, como la formación y conocimiento del investigador que las utiliza. Estos dos elementos hacen del uso de las herramientas, una constante reflexión y cuestionamiento por parte de la comunidad científica y práctica de la informática forense en el mundo. Dentro de las herramientas frecuentemente utilizadas en procedimientos forenses en informática detallamos algunas para conocimiento general de los lectores, que son aplicaciones que tratan de cubrir todo el proceso en la investigación forense en informática [12]: B. AUTENTICIDAD DE LA EVIDENCIA Según lo planteado por el autor con respecto a la veracidad de la evidencia forense este se refiere

5 Fundación Universitaria de Popayán. Muñoz, Certuche, Amador, Muñoz. Retroalimentación Informática Forense 5 única y específicamente al archivo o firma hash md5, con cuyo comando se determinan las firmas de los archivos, pero una parte importante que se pudo tener en cuenta en este proceso es la identificación del tipo de evidencia en la que se puede clasificar para tener una mejor claridad del tipo de evidencia manejada. Cómo podríamos clasificar la evidencia de un caso forense? Por ejemplo, evidencia inculpatoria: es la que soporta una teoría dada, evidencia exculpatoria: es la que contradice una teoría dada y la de manipulación la cual no puede relacionarse a ninguna teoría pero muestra que el sistema fue modificado para evitar la identificación de personas o sistemas que accedieron a la información. Anexo a ello. De acuerdo al artículo 11 de la ley 446 de 1998 donde habla sobre la autenticidad de los documentos. En todos los procesos, los documentos privados presentados por la partes para ser incorporados a un expediente judicial con fines probatorios, se reputaran auténticos sin necesidad de presentación personal ni autenticación. Todo ello sin perjuicio de lo dispuesto, en relación con los documentos emanados de terceros. Confiabilidad: se dice que los registros de eventos de seguridad son confiables si provienen de fuentes que son creíbles y verificables, para probar estos se debe contar con una arquitectura de computación en correcto funcionamiento la cual demuestra que los logs que genera tienen una forma confiable de ser identificados, recolectados, almacenados y verificados La suficiencia o completitud de las pruebas, para que una prueba está considerada dentro del criterio de la suficiencia de estar completa, para asegurar esto es necesario contar con mecanismos que proporcione integridad sincronización y centralización para lograr tener una vista completa de la situación. Para lograr lo anterior es necesario hacer una verdadera correlación e eventos en al cual puede ser manual o sistematizada Cada cuánto tiempo es necesario analizar las firmas de las imágenes forenses? En este punto se hace enfoque a los métodos utilizados de conservación de la evidencia forense, normalmente y como proceso contemplado se debe realizar como mínimo 2 copias más de la primera imagen o evidencia forense, normalmente si las tres firmas coinciden quieres decir que la evidencia fue clonada correctamente de lo contrario ha habido una alteración y las copias de la evidencia no serían consideradas como legítimas, una firma o hash md5 no se altera por sí sola, debe haber una actuación externa para poder que esta cambie. En caso de que se llegue a alterar la evidencia principal no habría soporte necesario para que las copias sacas posteriormente fueran consideradas como parte de la evidencia. C. ANALISIS DE UNA IMAGEN FORENSE El análisis de una imagen forense que plantea el autor del artículo análisis de métodos y procedimientos de la informática forense está basado en las formas o procedimientos en que un equipo forense puede acceder a la evidencia, entre ellas contempla análisis físico y análisis lógico, donde el análisis lógico contempla la evidencia desde un punto de vista de archivos (interfaz) y el análisis físico desde la parte del código hexadecimal de la evidencia. En el enfoque del desenvolvimiento de estos es muy necesario tener en claro cuál es el objetivo del proceso de búsqueda en la evidencia, como lo es tener muy claro: Qué se está buscando para poder así tener un enfoque más centrado o prioritario con la finalidad de la búsqueda. Cuando fue realizado el ataque al sistema. Como se afectó el sistema, que tipo de lugares tuvieron su participación en este ataque. Quien fue el autor de dicho ataque y Cual era el motivo o porque tuvo su acceso en el sistema. D. MONTAR UNA IMAGEN FORENSE El método de montaje de una imagen forense realizado por el autor del artículo fue llevado a cabo

6 Fundación Universitaria de Popayán. Muñoz, Certuche, Amador, Muñoz. Retroalimentación Informática Forense 6 por medio de una serie de comandos digitados en una consola, básicamente este tipo de comandos corren o son típicamente utilizados en versiones de Sistemas Operativos forenses Linux/UNIX. Para poder realizar un montaje de una imagen en un OS Windows se debe de tener a la mano un software que tenga este tipo de desempeño, normalmente el tipo de evidencia que se maneja en un caso forense está relacionada con los archivos locales de funcionamiento de un sistema operativo, el autor del artículo propone ejemplos de evidencia de un OS tipo Windows en cuya evidencia debe estar embebida la información de los archivos locales de dicho Sistema Operativo, si se quiere tener un acceso grafico de la imagen forense Windows cuenta con softwares que tienen la capacidad de montar dicha imagen y hacer que esta se despliegue en su entorno gráfico, normalmente como otro entorno de Sistema Operativo protegido en modo de escritura, Windows disfruta de una serie de softwares que permiten este tipo de montaje entre ellos se encuentra Live View [2] sistema que va de la mano con VMware[3] que es el sistema que soporta la representación gráfica de la imagen como tal. E. ARCHIVO INDEX.DAT COMO EVIDENCIA FORENSE Cada vez que un usuario interactúa con el equipo, ya sea con el explorador de archivos o también con internet explorer. Existe un archivo que contiene todas las huellas digitales de este tipo de contacto usuario-maquina, toda esta información va dirigida hacia el disco duro, específicamente a un archivo llamado index.dat el cual rastrea todas las actividades que ha tenido el usuario sin importar cuál sea su interactuación con el equipo y se almacena en este un registro por cada movimiento que el usuario haga en el computador. Específicamente la ubicación de estos archivos depende básicamente de la versión que se esté utilizando de Windows, como se refleja en la siguiente imagen. Windows Locations 95/98/ME \Windows\Temporary Internet Files\Content.IE5\ \Windows\Cookies\ \Windows\History\History.IE5\ Windows Locations 95/98/ME \Windows\Temporary Internet Files\Content.IE5\ \Windows\Cookies\ \Windows\History\History.IE5\ El archivo index.dat que ha sido modificado por un tiempo no muy largo sirve para poder verificar la actuación del usuario, últimos tiempos accesados, los archivos que el usuario pudo descargar, etc. Existe una controversia con respecto a la privacidad de este tipo de información con respecto al manejo de este archivo, ya que la información contenida por este archivo pertenece a un único usuario en especial, dependiendo de cuál este en uso. Algunos de los principales reclamos de los grupos es que estos archivos no pueden ser fácilmente eliminados. Esto es debido a que Windows previene los archivos abiertos y bloqueados de ser eliminados. Se ha sostenido que los métodos provistos por el sistema operativo de Windows para remover la información del archivo index.dat, da un falso sentido de claridad, aunque el folder de cache de internet puede ser limpiado, su uso no puede ser deshabilitado. Remover las diferentes entradas del archivo index.dat por ejemplo, usando Windows Explorer solo prevé esas entradas de ser usadas, no remueve la referencia de los archivos hasta la siguiente limpieza Mientras que algunos dicen que el sistema operativo de Windows deliberadamente oculta el archivo index.dat, otros señalan el hecho de que el explorador de Windows ofrece a los usuarios una vista detallada del contenido de los archivos cuando está navegando por el contenedor de los archivos, incluso permitir la eliminación de las entradas específicas. Varios programas gratis (entre ellos Red Button, CCleaner, index.dat Suite) pueden eliminar completamente los archivos index.dat hasta que sean recreados por Windows, aunque CCleaner y tal vez los otros no eliminan el archivo index.dat

7 Fundación Universitaria de Popayán. Muñoz, Certuche, Amador, Muñoz. Retroalimentación Informática Forense 7 oculto en el folder de archivos temporales de internet, el cual contiene una copia de las cookies que estaban en el folder de las cookies. Sin embargo, si la eliminación segura es habilitada en CCleaner luego esta limpiara efectivamente los contenidos de este archivo aunque el tamaño continuara incrementando con el uso [4]. Para poder acceder a este archivo se tiene que hacer uso de algunas herramientas especiales entre ellas una llamada Index Dat Spy [5] la cual puede traducir toda una gran maraña de números binarios del archivo index.dat a una forma más legible, y ni siquiera tienes que ser un programador para poder entenderlo. F. AUDITORIA DE LOS PROCEDIMIENTOS REALIZADOS En la investigación finalmente y no menos importante, es recomendable que el profesional de Sistemas o investigador mantenga un ejercicio de autoevaluación de sus procedimientos, para contar con la evidencia de una buena práctica de investigaciones forenses, de tal manera que el ciclo de calidad: PHVA - Planear, Hacer, Verificar y Actuar, sea una constante que permita incrementar la actual confiabilidad de sus procedimientos y cuestionar sus prácticas y técnicas actuales para el mejoramiento de su ejercicio profesional y la práctica de la disciplina. Cuál debería ser el perfil de un perito informático? Las normas procedimentales suelen referirse al perito como un experto en la materia objeto de pericia. Esto provoca una primera dicotomía: Es preferible un experto en la materia objeto de pericia, pero que tenga una exposición limitada y eventual al peritaje? o por el contrario debe preferirse la opinión de un profesional del peritaje que conozca los mecanismos del procedimiento respecto a la prueba pericial y a la introducción de hechos en un litigio, aunque no tenga el mismo nivel de conocimiento que el experto? En mi opinión deben tenerse en cuenta dos factores. El primero es lo minoritaria y estrecha que pueda ser el área de conocimiento que requiere la pericia. En la práctica habitual y salvo en casos muy concretos y escasos éste es un factor que no es determinante. El segundo factor es el concepto de compromiso con la actividad. En cualquier actividad es preferible la actuación de un profesional que esté comprometido con la misma, entendiendo el compromiso como aquello que el profesional invierte en la actividad. La razón es simple: cuanto más haya invertido el profesional en capacitarse para realizar la actividad, más estará dispuesto a llevarla a cabo fielmente y sin atajos. Y en este sentido, la actividad principal de uno es la que va a acumular su compromiso en detrimento de las secundarias. El compromiso puede tener formas diferentes: el estudio y publicación dentro del ámbito de actuación, la formación reglada, la formación continua, la colaboración en iniciativas dentro del ámbito, la adhesión a códigos de conducta, etc. En definitiva todo aquello que suponga un esfuerzo material o intelectual al profesional. A falta de una estandarización de la disciplina y de la definición de un currículo adecuado, el factor que pasa a tener un mayor peso es el del compromiso con la misma. De este modo cualquier elemento que abunde en el compromiso del perito con la actividad pericial es un factor positivo a tener en cuenta, mientras que por el contrario, la falta de implicación, la dedicación eventual o la no adhesión a códigos de conducta profesional son factores negativos a la hora de escoger un perito en informática. G. INFORME Y PRESENTACION DE RESULTADOS DE LOS ANALISIS DE LOS MEDIOS INFORMATICOS Este elemento es tan importante como los anteriores, pues una inadecuada presentación de los resultados puede llevar a falsas expectativas o interpretación de los hechos que ponga en entredicho la idoneidad del investigador. Por

8 Fundación Universitaria de Popayán. Muñoz, Certuche, Amador, Muñoz. Retroalimentación Informática Forense 8 tanto, la claridad, el uso de un lenguaje amable y sin tecnicismos, una redacción impecable sin juicios de valor y una ilustración pedagógica de los hechos y los resultados, son elementos críticos a la hora de defender un informe de las investigaciones. Generalmente existen dos tipos de informes, los técnicos con los detalles de la inspección realizada y el ejecutivo para la gerencia y sus dependencias. Declarar ante un jurado o juicio, por tanto, es probable que en el curso de la investigación o del caso, lo puedan llamar a declarar en ese instante o mucho tiempo después. Por tanto, el mantener un sistema automatizado de documentación de expedientes de los casos, con una adecuada cuota de seguridad y control, es labor necesaria y suficiente para salvaguardar los resultados de las investigaciones y el debido cuidado, diligencia y previsibilidad del profesional que ha participado en el caso. H. ADMINISTRACION DEL CASO REALIZADO Los investigadores forenses en informática deben prepararse para declarar ante un jurado o juicio, por tanto, es probable que en el curso de la investigación o del caso, lo puedan llamar a declarar en ese instante o mucho tiempo después. Por tanto, el mantener un sistema automatizado de documentación de expedientes de los casos, con una adecuada cuota de seguridad y control, es labor necesaria y suficiente para salvaguardar los resultados de las investigaciones y el debido cuidado, diligencia y previsibilidad del profesional que ha participado en el caso. REFERENCIAS Descarga de VMware software para soporte grafico [3] reworkstation9&q=descargar%20vmware&source=web&cd =2&sqi=2&ved=0CC4QFjAB&url= om/go/downloadworkstation&ei=vz3cumblg8aw0ag A3YDQDg&usg=AFQjCNEVKbKEcEsfY7NjAaBQZbrt ZtXttg Referencia archivo index.dat conceptos basicos [4] Descarga Index Dat Spy versión libre analizador archivo index.dat [5] [6] Delitos informáticos. Primer nivel de análisis informático Nuevas tecnologias de análisis forense [7] ESTUDIO DE METODOLOGIAS DE ANALISIS FORENSE DIGITAL [8] INFORMATICA FORENSE. GIOVANNI ZUCCARDI, JUAN DAVID GUTIERREZ. Wikipedia Computo Forense [9] erramientas_de_c.c3.b3mputo_forense [10] INTRODUCCION A LA INFORMATICA FORENSE JEIMY J. CANO PH.D, CFE [11] HERRAMIENTA DE APOYO PARA EL ANALISIS FORENSE DE COMPUTADORAS. UNIVERSIDAD DE JAENZ. JOSE ARQUILLO CRUZ Metodología de la inspección ocular en la informática forense [12] Informática forense [13] com_content&view=category&id=35&itemid=67 Protocolo informático forense 7 fases [14] -informtico-forenses-7-fases.html Análisis de sistemas informáticos [15] DESCARGA DE LIVE VIEW [1] METODOLOGÍAS Y ESTRATEGIAS EN BASE A LA INFORMÁTICA FORENSE. Capitulo 4, pag 62. Descarga Live View versión libre [2]