INFORMÁTICA FORENSE Delincuencia en los Medios Electrónicos Universidad Mundial
DEFINICIÓN Disciplina forense que se aplica en la búsqueda, tratamiento, análisis y preservación de indicios relacionados a una investigación en donde tanto el equipo de computo, electrónico y/o de comunicaciones han sido utilizados como fin o medio para realizar una acción presuntamente delictiva.
OBJETIVO Auxiliar a la autoridad solicitante en el descubrimiento de la verdad histórica de los hechos relativos a un presunto acto delictuoso en donde han sido utilizados equipos y programas de computo, dispositivos digitales de almacenamiento de datos y/o equipos electrónicos con la finalidad de identificar a él o los autores del hecho.
TIPOS DE INTERVENCIÓN Identificación de acceso y/o uso no autorizado a equipos de computo. Robo, alteración o copia de información contenida en equipos de computo. Falsificación de documentos mediante equipos de computo. Identificación de fraudes financieros a través de una red informática.
TIPOS DE INTERVENCIÓN Ataques informáticos a servidores web. Robo de programas de computo. Identificación de correos electrónicos. Recuperación de información en dispositivos digitales de almacenamiento. Ataques informáticos a redes de computo. Identificación y rastreo de correos electrónicos mediante IP.
TIPOS DE INTERVENCIÓN Rastreo de servidores web. Recuperación de información publicada en internet mediante fotos, video o escrita.
REQUERIMIENTOS De manera general, es necesario que el equipo o dispositivos que serán sometidos a análisis vengan debidamente identificados en la solicitud por parte de la autoridad (numero de serie, numero de inventario, marca, modelo, color, entre otras) y debidamente embalados. En caso de tratarse de cintas o discos magnéticos deberá de evitar su exposición a temperaturas extremas, humedad y elementos abrasivos que puedan dañar los datos contenidos en los mismos.
REQUERIMIENTOS Para el caso de localización de servidores de internet y/o direcciones de correo electrónico, se deberá de escribir de manera clara el URL (dirección electrónica) o dirección de correo electrónico y/o dirección IP, en su caso, en la solicitud. Para el caso especifico de correos electrónicos, se deberán enviar las cabeceras originales del correo electrónico para su análisis en el laboratorio.
Informática forense FORMA Y REQUISITOS QUE DEBERÁ CUMPLIR LA SOLICITUD DE INTERVENCIÓN
DESIGNACIÓN La autoridad ministerial dirigirá la solicitud por escrito al Director de Servicios Periciales, la cual deberá contener: Numero de averiguación previa. Numero de oficio de la agencia solicitante. Poner la fundamentación legal. Especialidad(es) que pide. Nombre, cargo y firma de la autoridad solicitante.
DESIGNACIÓN Planteamiento del problema: se deberá expresar en forma clara, precisa y concreta; es decir, que requiere el Agente del Ministerio Publico que el perito determine. Fechas para la realización de los trabajos de campo en compañía del Ministerio Publico.
DESIGNACIÓN Cuando la solicitud se haga vía telefónica o por fax es indispensable enviar el original a la brevedad posible. El perito podrá generar, como resultado de cada intervención pericial, un dictamen o informe, según sea el caso, mismo que deberá ser remitido a la autoridad solicitante.
LUGAR DE LOS HECHOS En el caso de que no sea remitido el dispositivo en cuestión para su análisis, el perito designado debe trasladarse al lugar de los hechos, y para ello deberá llenar el formato de información general del articulo que será sometido a análisis. En caso de que sea un equipo sin características especificadas, se deberá tomar nota, ya que el formato es solo para fines informativos.
LUGAR DE LOS HECHOS En el caso de que se llegue a catear un domicilio y haya equipo de cómputo involucrado, se deben seguir una serie de pasos: 1. Se debe poseer una orden judicial en el que se especifique el aseguramiento del sistema informático. 2. Despejar el área asegurándose que nadie tenga acceso a la computadora o sus alrededores.
LUGAR DE LOS HECHOS 3. Si la computadora se encuentra apagada, NO LA ENCIENDA. Al encenderla pueden activarse sistemas que causarían la destrucción de la información. 4. Si la computadora se encuentra encendida, fotografíe la pantalla. 5. Deshabilite la energía desde su fuente. 6. Deshabilite o desconecte el modem. 7. Desconecte la fuente de la impresora.
LUGAR DE LOS HECHOS 8. Inserte un diskette en la disquetera, un CD de embalaje en la unidad de CD o DVD y cúbralo con cinta de evidencia. 9. Fotografíe las conexiones de todos los equipos. 10. Rotule todas las conexiones de todos los equipos para así poder restablecer la configuración original. 11. Fotografíe todas las conexiones y luego diagrámelas. 12. Fotografíe el área luego de que el gabinete ha sido removido.
LUGAR DE LOS HECHOS 13. Investigue el área en busca de contraseñas u otra información relacionada. 14. Acopie todos los libros, notas, manuales, software, diskettes, memorias USB y discos, sistemas de almacenamiento y todo articulo relacionado al sistema. Coloque todos los discos en sobres de material que no conduzca la estática (papel). Realice un inventario de todo lo asegurado.
LUGAR DE LOS HECHOS 15. Interrogue a todos los sospechosos que puedan tener conocimiento del sistema, información operacional y todo tema relacionado. 16. Transporte la evidencia. NO coloque ningún elemento cerca de fuentes electromagnéticas tales como radios policiales. 17. Transporte la computadora a un lugar seguro. 18. Realice copias de seguridad de todos los canales de bits, discos rígidos y diskettes.
LUGAR DE LOS HECHOS 19. Siempre mantenga presente, las computadoras son evidencia. La evidencia debe ser preservada en su estado original. Cuando la información es analizada, los datos de los archivos pueden cambiar, lo que puede ser relevante en un proceso judicial. Los sistemas tradicionales para realizar copias de seguridad no captan toda la información en un sistema, y parte de la información puede perderse.
ANÁLISIS El análisis del equipo involucrado, será de acuerdo al tipo de necesidad y solicitud del Ministerio Publico.
DICTAMEN O INFORME Cuando se ha realizado el análisis completo de los equipos electrónicos en cuestión, se procede a realizar el Dictamen o Informe, el cual debe contener: Antecedentes Problema planteado Material utilizado Metodología realizada Conclusiones