INFORMÁTICA FORENSE La Informática Forense consiste en el empleo de métodos científicos comprobables para preservar, recolectar, validar, analizar, documentar y presentar evidencias digitales con el propósito de reconstruir hechos delictivos. Esto, según fue definida en el primer Taller de Investigación Digital Forense en el año 2001 por un grupo de expertos. La Informática Forense, es la ciencia que se enfoca en la búsqueda de posibles autores de delitos informáticos. Para ello aplica una seria de técnicas y métodos de investigación que permiten reconstruir lo más fielmente posible, la secuencia de eventos que tuvieron lugar en uno o en varios equipos digitales, o en toda una plataforma tecnológica, para la ejecución exitosa de un incidente de seguridad informática. Principio de Locard o Principo de Intercambio Al momento de realizar un análisis forense digital es muy importante tener presente El Principio de Intercambio de Locard, ya que sobre él se fundó la ciencia forense. El Principio de Locard dice que “siempre que dos objetos entran en contacto, transfieren parte del material que incorporan al otro objeto”. Dicho en otras palabras, cualquier tipo de delito, incluido en el ámbito de la informática, deja un rastro que permite obtener evidencias mediante el proceso del análisis forense. EVIDENCIA DIGITAL Según Jeimy José Cano, Evidencia Digital es aquella evidencia construida por campos magnéticos y pulsos electrónicos que pueden ser recolectados, almacenados y analizados con herramientas técnicas especiales. Según el HB: 171 2003 Guidelines for the Managment of IT Evidence (Pautas para el Manejo de la Evidencia de Tecnología Informática), la Evidencia Digital es cualquier información que, sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático. Peritaje Informático: se refiere a los estudios e investigaciones orientados a la obtención de una prueba o evidencia electrónica de aplicación en un asunto judicial o extrajudicial para que sirva para decidir sobre la culpabilidad o inocencia de una de las partes. Cadena de Custodia: La cadena de custodia es un sistema de aseguramiento que, basado en el principio de la “mismidad”, tiene como fin garantizar la autenticidad de la evidencia que se utilizará como “prueba” dentro del proceso. Importante –En la Incautación de Equipos Informáticos: Antes de todo, hay que resaltar que la falta de una orden de allanamiento e incautación que ampare las actuaciones (sobre los equipos y sobre la información) por parte de la Policía y la Fiscalía, puede terminar con la exclusión de los elementos probatorios por violación de las Garantías Constitucionales. Artículo 23 de la Constitución Política de la República de Guatemala, Artículo 187 y 190 del Código Procesal Penal. CONCEPTOS BÁSICOS –Uso de Herramientas Forenses Hash: Es una secuencia alfanumérica única que se obtiene al codificar una entrada (ya sea un disco duro, una memoria USB, un archivo u otra información digital) utilizando un algoritmo determinado. Es un identificador único a su correspondiente información y garantiza su integridad. Los Hash que veremos en la práctica del curso son: SHA1 MD5 Imagenes Forenses: Una imagen forense es una copia bit a bit exacta de un dispositivo de almacenamiento. En otras palabras, cada bit (1 o 0) es duplicado en otro dispositivo limpio desde la perspectiva forense, como un disco duro. Copiar y pegar únicamente obtiene los datos activos. Esto no obtiene los datos en el espacio sin asignar, incluyendo archivos borrados o parcialmente sobrescritos. Se necesita realizar un clon forense del dispositivo de almacenamiento sospechoso (disco duro), tan pronto como sea razonablemente posible. Antes de capturar la computadora, se debe tener la autorización legal para hacerlo. En casos criminales, esta petición y la racionalidad detrás de esto debe ser parte de la aplicación de la orden de registro. En casos civiles, esta provisión puede ser negociada por las partes implicadas u ordenada por un juez. FTK Imager: Distribuido por AccessData. Es una Herramienta Forense de Software que sirve para realizar 3 funciones: Crear Imágenes Forenses. Hacer Montaje de Discos. Recuperar Archivos Borrados.
