DISEÑO Y PLAN DE IMPLEMENTACIÓN DE UN

LABORATORIO DE CIENCIAS FORENSES DIGITALES

Integrantes:
• Calderón Valdiviezo Ricardo
• Guzmán Reyes Gisell
• Salinas González Jessica
 Agenda
• Introducción
• Delito Informático
▫ Concepto y clasificación
• Legislación referente a delitos informáticos
▫ Legislación Nacional
▫ Convenios y organizaciones internacionales
• Ciencias Forenses Digitales
▫ Concepto y objetivos
▫ Análisis forense digital
▫ Evidencia Digital
▫ Peritaje y peritos informáticos
• Definición de la metodología Forense Digital
▫ Cadena de custodia
▫ Procedimientos técnicos
• Diseño del Laboratorio de Ciencias Forenses Digitales
▫ Instalaciones
▫ Elementos del diseño
▫ Opciones de implementación en la ESPOL
• Conclusiones
• Recomendaciones
 Introducción
• Incremento en el uso de medios tecnológicos e información digital.

• “Ley de comercio electrónico, firmas electrónicas y mensajes de

datos”, para proteger a los usuarios de sistemas electrónicos.

• Metodologías especializadas en el tratamiento de evidencia digital.

• Integración de la tecnología y el personal especializado en

investigación Forense Digital.
 Delito Informático

Actos ilícitos

atentan contra Confidencialidad Sistemas informáticos

de
Integridad Redes
Disponibilidad Datos

Utilizan
medios
tecnológicos
 Delito Informático
- Datos de entrada
Fraudes por - Programas
manipulación de - Datos de salida
computadoras - Informática

Falsificaciones - Objeto
Clasificación informáticas - Instrumento

- Sabotaje informático
Daños o - Acceso no autorizado a
modificaciones de servicios
programas o datos -Reproducción no autorizada
de programas
Legislación Nacional
Ley Orgánica de Transparencia y Acceso a la
Información Pública

Ley de Comercio Electrónico Firmas Electrónicas y

Mensaje de Datos

Ley de Propiedad Intelectual

Ley Especial de Telecomunicaciones

Ley de Control Constitucional(Habeas Data)

Código Penal Ecuatoriano

 Convenios y organizaciones
internacionales

Convenios Organizaciones
• Tratado de Libre Comercio • Business Software Alliance.
• Convenio de Budapest • Organización de Naciones Unidas
• Organización de los Estados
Americanos
 Ciencia Forense Digital

conceptos
Criminalística
de tradicional en para esclarecer
Forma de aplicar estrategias medios hechos
informáticos

procedimientos
 Análisis forense digital

Fases del análisis forense digital

Escena del crimen

Asegurar la Identificar Capturar

escena evidencias evidencias
• Evitar la • Identificar los • Minimizar el
modificación o sistemas de impacto en la
destrucción de información que evidencia
evidencias contengan original.
digitales. información
relevante
 Análisis forense digital

Fases del análisis forense digital

Laboratorio Forense

Preservar Analizar Presentar

evidencias evidencias resultados
• Documentación • Seguir • Los resultados
detallada de los metodología deben
procedimientos forense presentarse de
realizados sobre especializada y forma concreta,
las evidencias. las herramientas clara y ordenada.
adecuadas.
 Análisis forense digital

Principio de intercambio de Locard

“Siempre que dos objetos entran en contacto transfieren
parte del material que incorporan al otro objeto.”

Objeto A Interacción Objeto B

 Análisis forense digital
Objetivos

Descubrir si se produjo el delito.

Determinar donde y cuando se produjo el delito.

Esclarecer cómo se produjo el delito.

Conocer que activos de información fueron afectados y en

que grado.

Identificar quien cometió el delito.

 Evidencia digital

generada

en un Sistema de comprometida
cometimiento de
Información almacenada información en el un delito directa
o indirectamente

enviada
 Evidencia digital
Clasificación

Registros almacenados en el Registros generados por Registros parcialmente

equipo de tecnología los equipos de tecnología generados y almacenados
informática informática en los equipos de
tecnología informática
• Correos electrónicos. • Registros de auditoría. • Hojas de cálculo .
• Archivos de aplicaciones de • Registros de • Consultas especializadas
ofimática. transacciones. en bases de datos.
• Imágenes, etc. • Registros de eventos, etc. • Vistas parciales de datos,
etc.
 Evidencia digital
Criterios de admisibilidad

Establecer un proceso de operaciones estándar en el manejo de

evidencia digital.

Cumplir con los principios básicos reconocidos internacionalmente en el

manejo de evidencia.

Cumplir con los principios constitucionales y legales establecidos en

Ecuador.
Regirse al procedimiento determinado en la Ley de Comercio Electrónico y el
Código de Procedimiento Penal.
Perito informático Peritaje informático
• Profesional con conocimientos • Es el estudio o investigación con
técnicos en informática, el fin de obtener evidencias
preparado para aplicar digitales y usarlas en un proceso
procedimientos legales y judicial o extrajudicial.
técnicamente válidos a las
evidencias digitales.
Peritaje y perito informático
 Perito informático
Áreas que debe cubrir

Fundamentos de
Área de tecnologías
bases de datos área
de información y
electrónica de seguridad de la
información

Área de
Área jurídica criminalística y
ciencias forenses

Área de
informática forense
 Perito informático
Funciones que debe cumplir

Preservar la evidencia.

Identificación y recolección de evidencias digitales.

Recuperación y análisis de datos.

Presentación de evidencia de una manera clara y

entendible.

Agente auxiliar del juez en aclaración de conceptos

para que se pueda dictar sentencia.
 Perito informático
Acreditación de peritos informáticos

Requisitos Documentación
Ser mayor de edad. Solicitud dirigida al Director
Provincial del Consejo de la
Judicatura.
Correcta ética profesional.
Hoja de vida, cédula y certificado
de votación.
Seriedad e imparcialidad
Record policial actualizado.

Desvinculación al concluir su Documentación que acredite

trabajo. experiencia y capacitación.

Comprobante de pago de servicios

administrativos.
 Cadena de custodia

Procedimiento de se aplica a la evidencia

control documentado física
para

garantizar y
demostrar
el/la

Identidad Integridad Preservación Seguridad

Almacenamiento Continuidad Registro

 Cadena de custodia
Etapas

Recolección y clasificación

Embalaje

Custodia y traslado

Análisis

Custodia y preservación final

 Cadena de custodia
Etapa de recolección y clasificación:

Aislar los equipos informáticos.

Registrar y fotografiar

Identificar y clasificar
 Cadena de custodia
Etapa de embalaje:

• Registrar nombre de oficial encargado de embalaje y

custodia de la evidencia.

• Etiquetar y rotular la evidencia.

• Colocar en contenedores especiales.

 Cadena de custodia
Etapa de custodia y traslado:

• Trasladar evidencia al laboratorio.

• Registrar cambio de custodia si existiese.

• En el laboratorio:
▫ Registrar ingreso de evidencia.
▫ Llenar inventario en el almacén
▫ Registrar todo traslado de la evidencia dentro y fuera del
laboratorio.
 Cadena de custodia
Etapa de análisis:

Llenar Revisar
Solicitar Registrar
registro de estado de
evidencia observaciones
entrega evidencia

Llevar Respaldar
Terminar Efectuar
bitácora de evidencia
análisis análisis
análisis original

Devolver
evidencia al
almacén
 Cadena de custodia
Etapa de custodia y preservación final:

Registrar
Recibir Revisar
datos de
evidencia estado
entrega

Registrar
Almacenarla
observaciones
 Procedimientos técnicos
Etapas

Recolección de evidencia digital

Identificación de las evidencias

digitales

Análisis de las evidencias digitales

Análisis de dispositivos móviles

Presentación de resultados
 Procedimientos técnicos
Etapa de recolección de evidencia digital:

• Realizar copias de la prueba original.

• Copia de información de dispositivos de mano.

• Retención de tiempos y fechas.

• Generar los procesos de suma de verificación

criptográfico de la evidencia digital.
 Procedimientos técnicos
Etapa de identificación de las evidencias digitales:

En medios volátiles En medios no

volátiles
Registros internos de los dispositivos
Discos duros internos y externos.
Memoria física

Memoria caché Dispositivos de almacenamiento

externos.
Registro de estado de la red

Contenido del portapapeles

Dispositivos de conectividad internos
Registros de procesos en ejecución y externos.
 Procedimientos técnicos
Etapa de análisis de evidencias digitales:

¿Qué? ¿Cuándo? ¿Cómo? ¿Quién?

• Determinar • Reconstruir • Descubrir • Reunir

la naturaleza la secuencia que información
de los temporal de herramientas sobre los
eventos los hechos. o piezas de involucrados
ocurridos. software se en el hecho.
han usado
para cometer
el delito.
 Procedimientos técnicos
Etapa de análisis de dispositivos móviles:

• Cargar Dispositivo

• Copia de la información que se extrae del

dispositivo

• Uso de software y herramientas

 Procedimientos técnicos
Etapa de análisis de dispositivos móviles:
Relación entre los datos encontrados y los resultados que se espera obtener
Fuente de evidencia ¿Quién? ¿Qué? ¿Dónde? ¿Cuándo? ¿Por qué? ¿Cómo?

Identificadores de
X
dispositivo / suscriptor

Registro de llamadas X X

Directorio telefónico X

Calendario X X X X X X
Mensajes X X X X X X
Ubicación X X
Contenido de URL de
X X X X X X
web

Imágenes / video X X X X X

Otro contenido de
X X X X X X
archivo
 Procedimientos técnicos
Etapa de presentación de resultados:

• Detallar las evidencias encontradas durante el análisis.

• Registrar el procedimiento realizado a cada una de ellas.

• Justificar los procedimientos para darle validez a la

evidencia digital.

• Replantear los hechos y determinar las conclusiones.

 Procedimientos técnicos
Etapa de presentación de resultados:

presentan
Resultados en la Corte

para determinar el

Éxito del
¿Qué? ¿Cómo? ¿Cuándo? ¿Quién? caso
llevará al

Fracaso
de un del caso
Delito
 Instalaciones del laboratorio
Seguridades

• Cédula de Identidad (Personal

externo al laboratorio)
• Identificación (credencial)
• Sistema biométrico
• Cerradura

• Circuito cerrado de video

• Sistema de alarmas
• Sensores de movimiento
Instalaciones del laboratorio
Condiciones ambientales

Condición Recomendación
Esterilidad biológica Lejía al 2%
Interferencia Jaula Faraday
electromagnética
Suministro energía eléctrica UPS, generador eléctrico
Ruido y vibración Materiales aislantes
Temperatura 22ºC
Sistema de refrigeración
Humedad de 65% máximo
Sistema de extinción de Polvo químico seco, bióxido
incendios de carbono, espuma,
INERGEN
 Instalaciones del laboratorio
Infraestructura interna

• Puntos de conexión de datos (internet e intranet)

• Puntos de conexión de voz
• Tomas de corriente con conexión a tierra
• Habitaciones de preferencia sin ventanas
 Instalaciones del laboratorio
Infraestructura interna

Área de almacenamiento
Área control de acceso y • Área de control de acceso y
entrada entrada
• recibir visitantes • Armarios
• Puertas con cerradura
• Persona responsable

Área de análisis Área mecánica

• Zona con acceso a internet • Desmontaje de equipos
• Zona sin acceso a internet • Ensamblaje de equipos
• Hardware forense • Uso de herramientas
• Software forense
 Instalaciones del laboratorio
TP Alternativa de diseño uno
Armarios de evidencias

Área de • Divisiones con paneles móviles

almacenamiento
• Área de almacenamiento abierta
TP

Área mecánica

• Área mecánica
Área de análisis
2 puestos de trabajo
Acceso Y Entrada
El Área De Control De

• Área de análisis

TP
PC internet e PC forense
2 puestos de trabajo
intranet
TP

PC internet e
PC forense

intranet
Alternativa de diseño tres
Armarios de
evidencias
Área de análisis

• Divisiones con paredes de cemento PC forense

• Área de análisis con puerta de acceso Área de

4 puestos de trabajo 2829mm almacenamiento

Acceso Y Entrada
El Área De Control De

• Área mecánica con puerta individual

3 puestos de trabajo Área mecánica

•Área de almacenamiento con puerta

individual
 Instalaciones del laboratorio
Infraestructura óptima – Alternativa de diseño dos

•Área de almacenamiento
almacenamiento
T

T
T
• Cubículo con puerta de acceso a
Área de

Armarios de
2100mm

evidencias
El Área De Control De Acceso Y Entrada

los armarios
500mm

• Puertas con cerradura

PC forense
Área de análisis
• Área mecánica
n et
e • 1 puesto de trabajo
er
Área mecánica int anet • Armario
C
P intr

• Área de análisis
• Tres puestos de trabajo
T

• Cada puesto con armario

• Divisiones con paneles móviles
 Elementos del diseño
Equipos informáticos

• Alta capacidad de
almacenamiento.
• Sistema operativo
estable
• Alta velocidad de
procesamiento
• Memoria RAM de
alta velocidad
 Elementos del diseño
Herramientas de duplicación
• Echo plus
• Forensics talon kit
• Super Sonix
• Omniclone 2XI

Hardware y elementos adicionales

• Discos duros externos
• Grabadores de CD/DVD
• Adaptadores
• Dispositivos de almacenamiento
• Cables IDE, SATA
• Herramientas para ensamblaje y desmontaje de
computadoras
 Elementos del diseño
Software forense

Easy Easy
Digital Fox Digital Fox
Deft Forensics Recovery Chrome Deft Forensics Recovery Chrome
Encase Caine Forensics Analysi Encase Caine Forensics Analysi
Extra Toolkit Profession Analysis Extra Toolkit Profession Analysis
Framework s Framework s
al al

Clonación de Análisis de
X X X
discos dispositivos X X
Comprobar móviles
integridad X X X X Análisis de
criptográfica firmas de X
Información archivos
X X X X
del sistema Búsqueda de
Adquisición X X X
X X X X archivos
en vivo Utilitarios
Recuperación X X
extras
de X X X X Reporte
contraseñas X
manual
Recuperación Reporte
de archivos X X X X X X
automático
borrados
Volcado de
Recuperación memoria X
de emails X X RAM
borrados
Adquisición
Análisis
de evidencia X
forense en X X X RAM
redes
Herramientas
Análisis
de
forense en X X X X X X X
automatizaci
navegadores
ón
Opción de implementación - Área de
Rectorado

Edif. CSI
Opción de implementación - Núcleo de
Ingenierías

FIEC - Edif. 15-A

FIEC - Edif. 16-C

Ubicación óptima - Área del CSI

Área de control de acceso y entrada Área de control de acceso y entrada

Vista interna – ventana frontal y lado

Vista interna – puerta lado izquierdo
derecho
Selección de Hardware y Software
Opción 1 Opción 2 Opción 3

• Hardware • Hardware • Hardware

forense forense básico
especializado especializado • Software libre
• Software • Software
forense forense libre –
comercial - Deft Extra
Encase • Software
complementario

• Duplicador Forensic • Duplicador Forensic • FTK Imager

talon kit talon kit •Deft-Extra
• Bloqueador de • Bloqueador de • Oxygen
escritura Ultra Kit escritura Ultra Kit •Restoration
III III
•Forensic Recovery of • Forensic Recovery of
Evidence Device • Evidence Device
• CellDEK CellDesk Tek
•Oxygen •Deft-Extra
•Encase • Oxygen
 Diseño seleccionado
Detalle   Alternativa Uno Alternativa Dos Alternativa Tres

Inversión Inicial 11.291,40 11.291,40 11.291,40

Ubicación en la
ESPOL: Edif. CSI Hardware y Software 43.027,74 34.549,24 4.599,00

Total 54.319,14 45.840,64 15.890,40

Alternativa de
diseño dos
60,000.00
Alternativa uno:
Hardware 50,000.00
especializado y
software comercial 40,000.00

Inversion Inicial
30,000.00 Hardware y Software
Total
20,000.00

10,000.00

0.00
Alternativa Uno Alternativa Dos Alternativa Tres
 Conclusiones
• Déficit de peritos informáticos que trabajen para la
fiscalía.

• Personal con capacitación no adecuada en

tratamiento de evidencia digital.

• No existe un estándar para la investigación de

evidencias digitales.

• Mayor porcentaje de costo de laboratorio sería

invertido en hardware y software
 Recomendaciones
• Capacitar a todos los miembros involucrados en
el control de la cadena de custodia.

• Usar de firmas digitales para la emisión de

ordenes judiciales.

• Crear un Laboratorio de ciencias forenses

digitales en la ESPOL.
Gracias por su
atención