Informática Forense (UCJC) PDF

Summary

This document provides an overview of the concepts of computer forensics. It includes a discussion of digital evidence, analysis methodologies, and legal implications. The document also covers various aspects of digital forensics such as different types of digital evidence, security and privacy issues, etc.

Full Transcript

INFORMÁTICA FORENSE UCJC

CONCEPTOS BÁSICOS

INFORMÁTICA FORENSE

1
INFORMÁTICA FORENSE UCJC

1. Introducción a la informática forense y problemáticas.

Concepto:

La informática forense corresponde a una de las múltiples ramas de las
ciencias forenses. Es la disciplina que identifica, adquiere, preserva, analiza y
presenta la información obtenida del estudio de las evidencias digitales
(informáticas, electrónicas, dispositivos móviles), fundamentándose en las
leyes de la física, de la electricidad y el magnetismo.

Esta práctica viene siendo requerida en aquellos casos en donde exista una
evidencia digital como parte de la comisión de un hecho delictivo. La
informática forense responde con una serie metodológica de técnicas y
procedimientos que permite realizar la adquisición, procesamiento, análisis
de información, interpretación y generación de informe de aquellas
evidencias digitales que servirán como medio de prueba y recusación en el
juicio, respetando en todo momento la cadena de custodia de los elementos
analizados.

Existe diferente documentación al respecto, a continuación se mencionan alguna de
aquellas que pueden ser de utilidad.

Guías de buenas practicas.

Best Practice Manual for the Forensic Examination of Digital Technology (ENFSI-
BPM-FIT-01). http://enfsi.eu/wp-
content/uploads/2016/09/1._forensic_examination_of_digital_technology_0.pdf

Normativas UNE.

UNE 197001 : 2011 Criterios generales para la elaboración de informes y
dictámenes periciales.

UNE 197010:2015 Criterios generales para la elaboración de informes y
dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones
(TIC).

UNE-EN 16775:2016 Servicios periciales. Requisitos generales para los
servicios periciales

Estándares ISO.

ISO/IEC 27037:2012 Information technology -- Security techniques --
Guidelines for identification, collection, acquisition and preservation of digital
evidence

ISO/IEC 27042:2015 Information technology -- Security techniques --
Guidelines for the analysis and interpretation of digital evidence

2
INFORMÁTICA FORENSE UCJC

Seguridad Informática VS Informática Forense

La informática forense no se debe confundir con otras disciplinas, si bien existen diversas
similitudes

Seguridad Informática Informática Forense

Auditoría de código fuente, redes Investigación digital / Primera
inalámbricas y Aplicaciones Web respuesta

Auditoría de Entornos Virtuales / Borrado seguro / Recuperación de
Aplicaciones Móviles datos.

Soporte técnico de seguridad Análisis de registros, (usuario,
Informática. logs, eventos, etc.).

Respuesta inmediata a incidentes Análisis forense de evidencias
de seguridad. digitales personales

Test de intrusión internos y Análisis forense de red, servidores
externos.

Problemáticas de la Informática Forense

Nuevas Tecnologías: Estas están implantadas en nuestra sociedad y se
encuentran en continuo cambio. Ante esto, se necesitan expertos
especializados en los diferentes campos que se actualicen
continuamente.

Almacenamiento: En la era digital en la que vivimos, todo se guarda en
un dispositivo de almacenamiento. Cada vez es mayor el número de
archivos (imágenes, videos, documentos, etc.), que generamos y la
cantidad de datos que somos capaces de almacenar. El análisis de esta
información se ha convertido en un problema, ya que se requieren
muchos recursos, tanto personales como materiales, así como una gran
cantidad de tiempo para la realización tanto de una copia de los datos
como del análisis de la información.

Cifrado: En el caso de los cifrados de información, nos encontramos entre
dos aspectos. Por un lado, la seguridad que se proporciona a las
evidencias digitales en el acceso a su información, como códigos de
bloqueo y aplicaciones de bloqueo de acceso a datos. Por otro lado, está
la problemática frente a la ruptura de claves u obtención de las mismas.
3
INFORMÁTICA FORENSE UCJC

Existen diferentes técnicas para la obtención de estas claves, como la
generación de diccionarios, claves por defecto, tablas rainbow y volcado
de memoria RAM.

Anti-forense: Las prácticas antiforenses son cada vez más utilizadas para
evadir la acción de un análisis forense. Estas incluyen la sobreescritura de
datos ("wipe"), la eliminación de datos (con posibilidad de hacerse en
remoto), la modificación de metadatos y la ocultación de información
(esteganografía). Estas técnicas hacen más difícil el análisis forense de
evidencias digitales.

La importancia de la cadena de custodia digital en la Informática Forense:

Como toda prueba incluida en un hecho delictivo, las evidencias digitales, debido a
sus especiales características (volatilidad, alterabilidad, etc.), deben mantener en
todo momento la cadena de custodia, documentando el recorrido y procesado de
las evidencias.

Quién, cuándo, dónde y estado de la evidencia digital en el momento de su
recogida.

Quién, cuándo, dónde y cómo se almacenó la evidencia digital.

Quién, cuándo y cómo se procesó y analizo la evidencia digital.

Quién, cuándo, dónde y estado de la evidencia en el momento de su emisión a
quien corresponda.

2. Evidencias digitales.

El especialista forense debe tener un conocimiento extenso sobre el hardware existente
en el mercado, ya que así tendrá conocimiento específico sobre la ubicación, cantidad y
tipo de almacenamiento de los dispositivos en los que realizará el análisis forense.

Las evidencias digitales son una parte importante dentro de las investigaciones digitales,
ya que son el medio de prueba que se utilizará para inculpar o exculpar a una persona
de un delito cometido. El tratamiento, desde el momento de su recogida, adquisición,
análisis, generación de informe y entrega (a la Autoridad Judicial, propietario, etc.), debe
garantizar a todas las evidencias digitales la capacidad de inalterabilidad, asegurada por
la cadena de custodia.

4
INFORMÁTICA FORENSE UCJC

Las evidencias digitales son aquellos soportes informáticos, electrónicos o móviles que
contienen un sistema de almacenamiento masivo, como discos duros, unidades de
estado sólido, tarjetas de memoria, dispositivos USB, etc., y pueden ser de
almacenamiento volátil o no volátil, capaces de contener información, ya sea de un
Sistema Operativo, datos de aplicaciones, datos de usuario (documentos, correos
electrónicos, historiales de chat y de navegación por Internet, etc.) o cualquier otro tipo
de información utilizada en la comisión de hechos delictivos.

Sistemas de almacenamiento de información.

Masivo. Es aquel, en cuyo interior se almacena la información y es persistente
cuando el dispositivo se apaga o pierde la corriente eléctrica. Ej. Disco duro o
disco sólido.

Volátil. Es aquel, cuya información es eliminada cuando el dispositivo digital se
apaga o pierde la corriente eléctrica. Ej. Memoria RAM.

Tipos de información.

Transitoria. Es aquella información que se almacena de forma temporal y que
se pierde cuando el dispositivo se apaga (conexiones de red, app ejecutados en
memoria, etc.). Ej. Diversos registros de un router.

Frágil. Es aquella información que se almacenan (normalmente) de forma
persistente y que se encuentran en continuo cambio (registros de Log, acceso
de ficheros, metadatos, etc.). Ej. Registros de eventos de Windows.

Características que debe tener una evidencia digital para ser presentada en un juicio.

Creíble: Debe ser clara por el organismo judicial.

Admisible: La evidencia debe estar relacionada con el asunto investigado.

Autentica. Debe ser real y relacionada con el hecho.

Completa. La evidencia debe probar la acción o inocencia del investigado.

Segura. No se deben tener dudas de su autenticidad o veracidad.

Imagen Forense vs Clonado, Hash y borrado seguro.

Imagen forense

Copia bit a bit de la información contenida en un dispositivo digital “origen”
sobre un archivo o archivos “imagen forense” que son almacenados en un
dispositivo digital “destino”. Los formatos mas comunes son; (EnCase).Ex01,

5
INFORMÁTICA FORENSE UCJC

(dd/ddfldd).RAW, (FTK).AD1,.AFF, (MacOS). DMG, (Acronis True Image).Tib,
etc.

Herramientas para la realización de una imagen forense:

◼ Hardware + Software
◼ Hardware: Bloqueadores Tableau
◼ Software: EnCase, X-Ways, FTK, Acronis True Image,
guymager (“dd”, “ddfldd”, etc.)

Clonado forense

Duplicado bit a bit de la información contenida en un dispositivo digital “origen”
sobre otro un dispositivo digital “destino” de igual o mayor tamaño.

Herramientas para la realización de clonado forense:

◼ Hardware
◼ Clonadoras
◼ SATDOCK5U3ER, VOOM HARDCOPY III, etc.

Borrado seguro

El borrado seguro es la sobre escritura de datos aleatorios (0/1) sobre los datos
escritos dificultando/imposibilitando la recuperación de la información. Algunos
sobrescriben con datos una vez y otros lo hacen varias veces. Existen diferentes
estándares para el borrado seguro las cuales definen entre otras cosas el
numero de veces que se sobre escribe (U.S. Standard, DoD 5220.22-M; NAVSO
P-5239-26 (RLL); NAVSO P-5239-26 (MFM); Peter Gutmann algorithm; Bruce
Schneier algorithm). El borrado seguro también es conocido por otros términos
tales como “shredding” o “erasing”.

Herramientas para la realización de borrado seguro:

◼ Software
◼ Eraser, Shred, Winhex, Antivirus AVG, CCleaner, EnCase, etc.
◼ Hardware
◼ SATDOCK2REU3 (Clonadora), Drive eRazer, etc.

Hash

Es la función matemática utilizada para verificar de manera inequívoca que los
datos son idénticos ("exacta”) en origen y destino. Esta función es utilizadas en
múltiples procesos relacionados como en la realización de imágenes forenses,
clonados forenses, copia de archivos, etc.

6
INFORMÁTICA FORENSE UCJC

La función matemática es ejecutada sobre el origen (disco duro, fichero, texto,
etc.) y sobre el destino de esos datos, verificando que son exactamente
idénticos. Las funciones más comunes son: CRC, MD4, MD5, SHA1, SHA256,
SHA512, etc.

A parte de la funcionalidad de verificación en la realización de copia de
información, existen otras utilidades como, la reducción de la búsqueda de
archivos evitando que el analista deba recorrer y visualizar todos los archivos de
un dispositivo digital.

Por medio de la identificación de hashes conocidos (MD5, SHA1) que identifican
un archivo concreto, se puede identificar ese archivo (por el hash) en cualquier
otro dispositivo digital, sin necesidad de visualizar el contenido del mismo.

En la siguiente página web “https://www.nsrl.nist.gov”, se pueden encontrar
diferentes bases de datos con diversidad de hashes (MD5, SHA1, etc.) de
ficheros conocidos (aplicaciones, archivos, etc.) que ayudarán al analista a
disminuir la búsqueda de información en las evidencias digitales.

3. Primera respuesta (Triage).

La inspección ocular “digital” se realiza como cualquier otra inspección ocular,
siguiendo en todo momento una metodología de trabajo. Se debe identificar y
detallar en cada momento los efectos intervenidos (material, ubicación, posición,
estado del dispositivo, etc.).

Es básico poseer conocimientos en nuevas tecnologías y realizar una recolección de
evidencias digitales de manera inteligente. Siempre se debe de estar actualizado, no
solo en cuanto a diversidad de dispositivos digitales se refiere, si no, en cuanto a los
sistemas operativos, aplicaciones y demás casuísticas que pueden suceder durante
la inspección. No se debe acotar la búsqueda a equipos informáticos (sobremesa o
portátiles), ya que existen diferentes tipos de evidencias digitales que pueden ser
objeto utilizadas en la comisión de hechos delictivos (discos duros, discos sólidos,
Smart TV, Smartphone, Tablet, pendrive o USB, CD/DVD, disquete, Raspberry,
Arduino, AsusPc, etc.). Se debe tener en gran consideración las tecnologías
inalámbricas (sistemas de almacenamiento masivo con WIFI), ya que, por ejemplo,
como puede suceder en el caso de los dispositivos de Apple, es posible que la
ubicación de la información no se encuentre en propio ordenador/sobremesa, si no
en un dispositivo Time-Capsule con conexión WIFI.

Primera respuesta:

Es la intervención y análisis de evidencias digitales se realiza “in situ”. Si se realiza
de forma correcta puede ayudar en el análisis en laboratorio. El análisis que se
7
INFORMÁTICA FORENSE UCJC

realiza en Primera Respuesta, consiste entre otras muchas cosas, en realizar el
volcado de la memoria volátil, información transitoria y/o frágil que pueda ser
perdida o eliminada en el momento de la recogida del dispositivo. Se deben
observar si existen contenedores cifrados abiertos cuya información sea accesible,
chequeo de procesos en ejecución para el análisis de comportamiento (malware,
troyanos, borrado seguro, envió de información,, etc.), documentos abiertos,
aplicaciones de mensajería instantánea en sus versiones escritorio (WhatsApp,
Telegram, etc.).

Pre análisis: (cadena de custodia). Identificación si es posible de la red y de los
dispositivos conectados (cable/WIFI). Identificación de las evidencias digitales
(etiquetado y fotografías), chequeo del estado de los dispositivos móviles
(encendido / apagado / roto …).

Análisis: Siempre en presencia de la Autoridad Judicial y propietario de las
evidencias, se procederá a la realización del análisis y recolección de la información
datos volátiles de las evidencias digitales que se encuentren encendidas (datos
memoria RAM, volúmenes cifrados, registros de log temporales, información de
routers, etc.) que se perderían si el dispositivo se apagase.

Software:

◼ Software “Open Source”
◼ Caine
◼ Win-UFO
◼ OSForensics
◼ DAWF
◼ DART
◼ SysInternals

◼ Software comercial
◼ Advance Digital Forensics
(http://www.adfsolutions.com/products/triage-examiner)
◼ Encase (https://www.guidancesoftware.com/encase-portable)
◼ Spektor
(http://www.evidencetalks.com/index.php/products/spektor)

Es importante, por ejemplo, el análisis de los registros del router, ya que, en
ocasiones, por desconocimiento o por dejadez, la conexión de Internet esta siendo
“compartida” por mas de un usuario. Estos registros, dependiendo del router, se
eliminan cuando se apaga, eliminando la información sobre conexión (tiempo,
dirección MAC, dispositivo, etc.)

Post-análisis: (cadena de custodia). Recogida de toda evidencia digital (apagado
controlado, hibernación, suspensión, etc.), cableado y documentación (códigos PIN
/ PUK, papeles con posibles contraseñas …). Envió de documentación con el objeto
del análisis y material intervenido.

8
INFORMÁTICA FORENSE UCJC

4. Laboratorio forense.

El laboratorio forense es aquel entorno en el cual el experto se encontrará en una
situación controlada, ya que, es conocedor de cada herramienta hardware/software
disponible. Como norma general, el laboratorio forense, proporciona al especialista
forense de un entorno en el cual la presión es menor, disponiendo de una mayor
cantidad de tiempo para la realización del análisis.

Pre-análisis: (cadena de custodia). En el laboratorio, se comprueba y realiza la
identificación de las evidencias digitales (etiquetado y fotografías), realización de
imágenes forenses y preservar de las evidencias digitales originales. Existen diversas
tipologías de hechos delictivos, a los cuales se les puede realizar un pre-tratamiento
de la información, como chequeo de hash, búsqueda en archivos en relación a la
cantidad de carne, indexación y búsqueda de palabras clave, etc.

Análisis: El especialista debe realizar el análisis forense de la información contenida
en las imágenes forenses, de los soportes informáticos (discos duros, pendrive, …),
electrónicos (lectores de tarjetas bancarias, llaves electrónicas, etc.) y móviles (GPS,
Smartphone, smartwatch …). Este análisis dependerá, entre otras cosas, del hecho
delictivo, autorización judicial, tiempo, etc. El especialista debe analizar utilizando
sus conocimientos técnicos y mediante las herramientas forenses disponibles,
aquellos registros que hayan sido generados, modificados, eliminados en la
evidencia, relacionados con el hecho delictivo. Finalmente se procede a la
generación del informe pericial. El informe pericial debe plasmar todo el proceso
que la evidencia digital ha seguido (cadena de custodia). De la misma manera, el
informe debe plasmar el resultado técnico del análisis realizado, así como las
conclusiones a las cual se llega.

Software:

◼ Software “Open Source”
◼ DEFT
◼ Win-UFO
◼ OSForensics
◼ DAWF
◼ DART
◼ Autopsy
◼ Scripts forenses (Python, Perl, Ruby, etc.)

◼ Software “Comercial”
◼ EnCase
◼ IEF
◼ Nuix
◼ X-Ways
◼ Belkasoft
◼ Forensics Explorer
◼ Perlustro

9
INFORMÁTICA FORENSE UCJC

Post-análisis: (cadena de custodia). Envió de documentación (oficios, informes y
demás actas) así como del material original objeto del análisis.

5. Forense de equipos informáticos.

En la actualidad los equipos informáticos como ordenadores personales o portátiles
están dejando paso a los dispositivos móviles, si bien, los principales sistemas
operativos que un especialista se encuentra en la comisión de un hecho delictivo
son “Windows”, “MacOS” y “Linux”.

Cada uno de estos sistemas operativos, tiene sus propias peculiaridades, así como
cada versiones o distribuciones.

Por ejemplo, el sistema operativo “Windows” gestiona su información mediante un
sistema centralizado o registro (“registro de Windows”) mientras que “MacOS” lo
realiza mediante un sistema de ficheros (“.plist”).

El análisis de los artefactos de un equipo informático no solo dependerá de los
registros que genera un usuario, si no, de los diferentes registros que el análisis de
los artefactos de un equipo informático no solo dependerá de los registros que
genera un usuario, si no, de los diferentes registros que genera el Sistema Operativo
y las diferentes aplicaciones. Se generan una serie de artefactos ante cada evento
que se realiza en un dispositivo información. Por ejemplo, cuando se instala el S.O
(número de serie, fecha, versión, etc), cuando se accede al S.O (fecha, hora, usuario,
etc), cuando se ejecuta una aplicación, (número de ejecuciones, últimos archivos
abiertos, etc.), metadatos de un archivo (fechas de creación, modificación, borrado,
posicionamiento de foto, autor/es, etc.), cuando se intercambian mensajes
(mensajería instantánea, correos electrónicos, etc), registros de conexiones a otros
equipos (“ftp”, “ssh”, “http”, etc.), registros de navegación (histórico, descargas,
marcadores, etc.).

En definitiva, cabe destacar que cualquier interacción con una evidencia digital deja
rastro de una u otra forma, ya que, no solo el usuario genera sus registros, si no que
ademas el sistema operativo y sus aplicaciones generan sus propios registros,
proporcionando al especialista de toda información necesaria para la realización
del pertinente análisis.

En la actualidad existen diversas herramientas forenses que automatizan la
adquisición y análisis forense de la información contenida en dispositivos
informáticos.

Forensics Tool Kit (, EnCase Forensic (, Axiom
(https://www.magnetforensics.com/magnet-axiom/), Belkasoft
(https://belkasoft.com), Autopsy (https://www.sleuthkit.org/autopsy/)

10
INFORMÁTICA FORENSE UCJC

6. Forense de dispositivos móviles.

Los dispositivos móviles, son aquellos aparatos que mantienen a sus usuarios
conectados entre si, independientemente del lugar, si bien, desde el punto de vista
forense existen diversas peculiaridades a tener en cuenta que hacen que su análisis
sea diferente.

Gran diversidad de aplicaciones (mensajería, juegos, navegadores GPS …). Cada
una de estas aplicaciones es creada específicamente para el S.O. incluso a veces
para el modelos de terminales.

Dificultad para analizar los propios registros de estas aplicaciones, así como los
registros del sistema. La mayoría de los registros y aplicaciones utilizadas por el
sistema, se encuentran bloqueadas mientras este tiene accesos a ellas.

Elevado número de aplicaciones en las diferentes plataformas, (ej. mensajería
instantánea), con la consiguiente problemática en el tratamiento del volumen
de datos y el estudio de las mismas

Hardware y software de análisis forense es muy específico, siendo en la
mayoría de ocasiones utilizados por laboratorios con recursos u organismos de
la administración.

Un dispositivo móvil puede ser dividido en tres partes: Terminal, Tarjeta/s SIM, Tarjeta/s
de Memoria

Terminal: Es el dispositivo móvil que da acceso a través de la tarjeta SIM a la red
telefónica y que contiene una memoria interna que dependiendo el modelo puede llegar
a ser de hasta 4 TB. Se deberán examinar los datos contenido en la memoria interna del
terminal mediante el uso de herramientas forenses que realicen la adquisición de la
información.

Es de gran importancia el tipo de adquisición realizado, ya que de ello dependerá el nivel
de acceso a la información por parte del especialista.

A continuación se muestra de menor a mayor nivel de acceso a la información.

Adquisición manual: Es una copia de la información que muestra la
pantalla, no pudiéndose extraer la información de otra manera
(incompatibilidad de conectores de datos, fallos de hardware, etc.) Ya sea
mediante hardware especifico que valide la información obtenida.

Adquisición lógica: Es una copia lógica de la información que contiene el
dispositivo, En este caso no se podrán ejecutar técnicas de recuperación de
11
INFORMÁTICA FORENSE UCJC

información. Se puede realizar mediante diferentes herramientas de copia de
seguridad (iTunes, SmartSwitch, etc) o herramientas forenses.

Adquisición de sistema de archivos: Se obtiene la información del
sistema de archivos, pudiéndose realizar diferentes técnicas de recuperación
sobre archivos. Se puede realizar mediante diferentes herramientas forenses,
cajas flash.

Adquisición física: Es una copia bit a bit del contenido de la memoria. Se
puede realizar mediante diferentes herramientas forenses, cajas flash, JTAG o
Chip-Off. Con este tipo de adquisición el especialista obtendrá un mayor
volumen de información.

Tarjeta/s SIM: Es una tarjeta inteligente en la cual se almacenan diversos datos
correspondientes a operador de red, además de albergar ciertos datos correspondientes
al usuario, como pueden ser números de teléfono o mensajes, puede tener hasta una
capacidad de 4Mb. En este caso se realizara una extracción de los datos contenidos, no
pudiéndose realizar una imagen forense.

Tarjeta de memoria: Es un dispositivo de almacenamiento el cual se aloja en la parte
interior del terminal y aporta al teléfono mayor capacidad para albergar la información,
la capacidad vendrá en relación al tipo de tarjeta (por ejemplo existen tarjetas de tipo
MMC, MiniSD, MicroSD de tamaños variables). Se realizará el análisis, como si fuera una
evidencia informática, es decir, realizando su correspondiente imagen forense, análisis
y recuperación de datos.

En la actualidad existen diversas herramientas forenses que automatizan la
adquisición y análisis forense de la información contenida en dispositivos
móviles.

FTK Mobile Phone Examiner - MPE (, PDA Seizure (, UFED (, XRY/XACT (,
Mobiledit Forensic (, EnCase Forensic (, Pc-suites o Desktops oficiales (OVI, iTunes, Smart
Switch, BB link..)

7. Recuperación de información

La recuperación de información es aquel procedimiento por el cual el especialista
recupera los datos ubicada en el interior de una evidencia digital.

La perdida de información puede deberse a diversos factores.

Perdida física: Fallo o destrucción de elementos hardware. Con respecto a este
tipo, pueden existir diversas soluciones para realizar la extracción de la
información (cambio de los elementos dañados, uso de conexiones alternativas,
etc.), si bien, puede ser que no se disponga del elemento hardware (antigüedad
de la pieza, etc.) o su sustitución sea compleja (desoldar piezas, tamaño,
ubicación, etc.).
12
INFORMÁTICA FORENSE UCJC

Perdida lógica: Borrado (accidental o intencionado) o sobre escritura de
información mediante software. La recuperación de información lógica se podrá
realizar mediante software forense que realice la restructuración de las
diferentes estructuras del sistema de archivos (FAT/32, EXT2/3/4, NTFS, HFS,
APFS, etc.) o recuperación de archivos mediante sus cabeceras hexadecimales
(datacarving), etc.

En el caso de elementos borrados, los archivos se encontraran en otra carpeta
(papelera de reciclaje). En el caso de elementos eliminados, se utilizaran
herramientas de recuperación de información (datacarving) como EnCase,
Winhex, Photorec, Recuba, Foremost, Sleuthkit autopsy, etc. Así mismo, se
deben tener en cuenta mecanismos propios de los sistemas operativos
utilizados para la recuperación de archivos diferentes (shadow copy, control de
versiones, copias de seguridad (backup), copias en la nube, etc.).

8. Informe pericial

Es el medio de prueba consistente en la declaración de conocimiento que emite una
persona (perito), que no sea objeto necesario del proceso, acerca de los hechos,
circunstancias o condiciones personales inherentes al hecho punible, conocidos dentro
del proceso y dirigidos al fin de la prueba, para lo que es necesario poseer determinados
conocimientos científicos, artísticos o prácticos.

Estructura general del informe pericial:

Portada: Se indicará la información correspondiente con el nombre de la unidad
o nombre e identificación del perito, número del informe, órgano solicitante,
identificación del asunto (Diligencias Previas / Diligencias Policiales).

Antecedentes: Se realizará un resumen detallada de la cadena de custodia.
Organismo que solicita el informe (Juzgado, Policía, particular, otros), que se
solicita (Oficio, Diligencia, escrito), cual es el material objeto de estudio
(descripción detallada del material, estado, numero de serie, etc.).

Estudio Técnico: Relación detallada de quién realiza el estudio (herramientas
utilizadas, análisis del material, fotos detalladas del material) de todas las
operaciones técnicas practicadas por los peritos de forma extendida.

Resultados: Resultados obtenidos del estudio técnico realizado.

Conclusiones: Conclusiones (clara, concisa, completa, concreta, coherente y sin
juicios de valor) que se obtengan del estudio técnico y resultados obtenidos
(qué se ha encontrado, explicación de las implicaciones, datos de remisión,
fecha y firma de los peritos, anexos, CD/DVD recopilatorio) conforme a los
principios y reglas de su ciencia o arte.

13
INFORMÁTICA FORENSE UCJC

9. Listado de herramientas forenses

❑ Informática
❑ Hardware (imagen forense / clonado)
❑ Bloqueadores de escritura de disco
❑ Clonadoras
❑ Software (análisis)
❑ EnCase
❑ Xways
❑ Internet Evidence Finder
❑ Belkasoft
❑ Dispositivos móviles
❑ Hardware (imagen forense)
❑ UFED
❑ MSAB
❑ FlashBox
❑ JTAG
❑ Chip Off
❑ Software (análisis)
❑ Herramientas software propias (UFED / MSAB)
❑ Oxygen Forensics Suite
❑ EnCase
❑ Mobiledit
❑ Mobile Phone Examiner (AccessData)

10. Otros conceptos

Metadatos

Los metadatos, a menudo referidos como "los datos de los datos", son información que
describe, explica o complementa los datos primarios en un archivo digital. Estos detalles, que
van más allá de los datos visibles, se generan automáticamente al utilizar tecnologías digitales
y varían según el tipo de archivo y la tecnología empleada. A continuación se detallan varios
tipos de metadatos:

1. Información de Creación y Modificación: Incluye el nombre del usuario que creó o
modificó un documento, las fechas y horas de creación y modificaciones, y la cantidad
de veces que se ha modificado el documento.
2. Datos de Localización para Imágenes: Para fotografías, los metadatos pueden contener
información geográfica detallada como longitud, latitud y altura, indicando el lugar
exacto de la toma.
3. Información del Dispositivo: En fotos y videos, los metadatos revelan detalles del
dispositivo utilizado, incluyendo marca, modelo y configuraciones de la cámara como
velocidad de obturación, apertura e ISO.
4. Metadatos de Gestión y Organización: Esto puede abarcar etiquetas, categorías o
palabras clave para facilitar la búsqueda y organización del archivo.
5. Metadatos de Seguridad: Información sobre permisos de archivo, accesos y cómo ha
sido compartido o transmitido.
14
INFORMÁTICA FORENSE UCJC

6. Integridad del Archivo: Detalles como sumas de verificación o hashes, utilizados para
verificar que el archivo no ha sido alterado.
7. Formato y Estructura del Archivo: Información técnica sobre el formato (ej. PDF, JPEG,
MP3), la codificación utilizada y otros detalles técnicos.

En la informática forense, los metadatos son valiosos para establecer cronologías de eventos,
identificar autores o usuarios de archivos, y comprender la creación o modificación de los
mismos. También son cruciales para validar la autenticidad e integridad de los datos.

15