Módulo 7: Conduciendo Investigaciones Electrónicas MSPA 505 Educación en Computadoras para Administradores Públicos 1
Objetivos Reconocer la importancia de la protección de datos digitales y el debido cuidado y diligencia en el proceso de conducir investigaciones digitales Delinear Políticas y procedimientos para el debido proceso de recolección de evidencia digital. Discutir mediante foros medidas preventivas y curso de acción para validar veracidad de datos digitales, especialmente en la nube, y determiner la procedencia de los mismos. Establecer medidas preventivas para preservar la integridad de datos y prevenir robo, fraude, uso o procesamiento indebidos de datos que pongan en peligro la integridad y seguridad de datos. Objetivos específicos del módulo 6. • Reconocer la importancia de la protección de datos digitales y el debido cuidado y diligencia en el proceso de conducir investigaciones digitales. • Delinear Políticas y procedimientos para el debido proceso de recolección de evidencia digital. • Discutir mediante foros medidas preventivas y curso de acción para validar veracidad de datos digitales, especialmente en la nube, y determiner la procedencia de los mismos. 2
Conceptos de Evidencia Digital • Evidencia - muestra que resulta innegable, que fortalece el contenido de la prueba como parte de una investigación, (definion.de, conceptodefinicion.de). • Evidencia Digital– toda evidencia proveniente de medios computadorizados o digitales, computadoras, dispositivos móviles, almacenamiento local, secundario y en la nube (Nelson, Phillips, 2010). Fuente: Nelson, B. Phillips, A. & Steuart, C. (2010). Guide to Computer Forensics and Investigations. 4th. Ed. Boston, MA. Cengage Learning, www.defincion.de La evidencia digital es toda evidencia proveniente de medios computadorizados o digitales, computadoras, dispositivos móviles, almacenamiento local, secundario y en la nube (Nelson, Phillips, 2010). La evidencia puede ser circunstancial, directa o de referencia. Las cortes hoy dia aceptan la evidencia digital y se trata de manera similar a la evidencia directa o física, siempre y cuando se evidencie un manejo objetivo y adecuado y se haya preservado la cadena de evidencia. La evidencia digital es toda evidencia proveniente de medios computadorizados o digitales, computadoras, dispositivos móviles, almacenamiento local, secundario y en la nube (Nelson, Phillips, 2010). La evidencia puede ser circunstancial, directa o de referencia. Las cortes hoy dia aceptan la evidencia digital y se trata de manera similar a la evidencia directa o física, siempre y cuando se evidencie un manejo objetivo y adecuado y se haya preservado la cadena de evidencia. Evidencia directa es toda aquella evidencia recopilada como parte del proceso de labor de campo de la investigación, entrevistas, testimonios, declaraciones juradas, observación del investigador. Evidencia circunstancial son todos los elementos recopilados y observados que lleva a inferencias del jurado en un caso civil o criminal. Evidencia real constituye rastros físicos, materiales que confirman la acción bajo investigación. Existe otro elemento, conocido como “hearsay” que es todo testimonio basado en conocimiento por referencia. 3
Investigación Forense Digital Adaptado de: https://yikaxupuba.jimdofree.com/politicas-planes-y- procedimientos-de-seguridad/ Se debe primero establecer el marco reglamentario a seguir durante un proceso de investigación digital que especifique los pasos a seguir para la ocupació adecuada de dispositivos y recolección íntegra y objetiva de evidencia digital. Marco reglamentario y procedimental a seguir: Políticas internas alineadas con el marco de ley aplicable. Políticas claras y conocidas por todos los investigadores aseguran se siga el debido proceso investigativo. Estas políticas, estándares y procedimientos deben establecer el marco ético y código de conducta profesional que todo investigador debe seguir. Todo investigador debe observar un comportamiento ético en todo momento, ejercer el debido cuidado y diligencia en el proceso investigativo y recolección objetiva de evidencia directa y digital. Configurar advertencias digitales para orientar a los usuarios de las políticas relacionadas al uso adecuado de sistemas y aplicaciones. Esta vista se configura como parte del proceso de encendido de la computadora y es el primer paso en el proceso de autenticación del usuario para ingresar a los sistemas corporativos o organizacionales (login). Esta vista o caja informativa (screen) debe establecer que no hay expectativa de privacidad, que las computadoras, programado y todo archivo almacenado en ellas es propiedad de la organización, y puede ser examinada en cualquier momento. 4
Equipo para Investigación Forense Forensic Recovery of Evidence Device (FRED) workstation Computer Forensic Toolkit La investigación forense envuelve la recolección y análisis de evidencia digital como parte de un proceso de investigación, sea de naturaleza administrativa, civil o criminal. Toda evidencia que provenga o se levante de una computadora, dispositivo móvil, dispositivos de Almacenamiento físico on en la nube debe ser manejado de igual forma como se maneja la evidencia física (Maras, 2012). Cuando un investigador maneja evidencia digital, hay unas consideraciones a seguir para preservar integridad y confiabilidad de la veracidad en cuanto a la procedencia de los datos recopilados. Es esencial que solo una persona o oficial ocupe y clasifique la evidencia digital utilizando formularios y etiquetados (labels) para marcar la evidencia. 5
Programado Forense Como parte del proceso de investigación forense, se debe primero establecer el marco reglamentario a seguir durante un proceso de investigación digital que especifique los pasos a seguir para la ocupación adecuada de dispositivos y recolección íntegra y objetiva de evidencia digital. Estas Políticas, estándares y procedimientos deben estar complementados por herramientas que faciliten y garanticen una investigación y análisis de datos comprensivo, completo y objetivo. Identificar todos los artefactos a utilizar para el proceso de investigación (equipo y programado forense). Ejemplos son instrumentos para manejo de escena forense (forensic toolkit), y programado como Encase, Forensic Toolkit (FTK). 6
Formularios para el Manejo de Evidencia Digital Imágen adaptada de: http://www.razonypalabra.org.mx/anteriores/n42/evillanueva.html Recolectar, incautar equipo, preservar y documentar la evidencia, siguiendo un procedimiento y estrategia establecida y documentada. El proceso de recolección de dispositivos electrónicos debe ser uno sistemático y documentado. Se debe seguir un orden y documentado en formularios establecidos para estos propósitos en los procedimientos para recolección de equipo electrónico. Identificar y clasificar evidencia digital siguiendo el debido proceso investigativo y manejo de la cadena de evidencia para propósitos de veracidad y legitimidad. 7
Ejemplo #1 – Amenaza por correo electrónico o utilizando redes sociales • Mensaje amenzante recibido en un computador o dispositivo corporativo, proveniente de otra emrpesa • Se notifica a Seguridad de Sistemas, Seguridad Interna y Recursos Humanos (de acuerdo a la cadena de notificación o Amenaza Escalabilidad establecido en la política de seguridad y manejo de incidentes). • Con los metadatos del mensajes recibido se contacta al proveedor de servicios de internet (ISP) • Se obtiene los datos de procedencia del mensajes (triangulación) dispositivo que tenia asignado la dirección de IP a la fecha y ISP hora establecida y obtenida del mensajes recibido. • Solicitar la procedencia del correo o publicación proveniente de la dirección de IP a la fecha y hora establecida Orignen • Obtener orden del tribunal de ser necesario (subpoena) (correo o red social) • De acuerdo a la region geográfica o dirección identificada, Verificar la • Obtener orden del tribunal de ser necesario (subpoena) localización establecida • Con los datos recolectados del correo electrónico o la red social y los datos recopilados de los proveedores se examina con herramientas para mineria de datos (data mining) para identificar patrones Analisis • Con los resultados del análisis se determina si se procede con la radicación de cargos, o se recomienda acción administrative. El ejemplo ilustrado es un ejemplo de procedimiento para investigación siguiendo el modelo inverso de investigación (reverse engineering) donde se comienza desde el punto reportado, en este caso del correo recibido y se sigue el rastro en reversa hasta llegar al punto de origen del ataque, en este caso el origen del correo electrónico o publicación en la red social. Aclaración: Este modelo es un ejemplo de un procedimiento investigativo. 8
Referencias • Gardner, T.J. & Anderson, T.M. (2010). Criminal Evidence: Principles and Cases. Belmont, CA. Wadsworth – Cengage Learning • Maras, M. (2012). Computer Forensics – Cybercriminals, Laws, and Evidence. Sudbury, MA. Jones & Bartlett Learning. • Nelson, B. Phillips, A. & Steuart, C. (2010). Guide to Computer Forensics and Investigations. 4th. Ed. Boston, MA. Cengage Learning. • Sadgune, R. (2015). Digital Forensic Checklist. Recuperado de: https://hackforlab.com/digital- forensic-checklist/ • Schmalleger, F. (2012). Criminal Justice Today – An Introduction for the 21st. Century. 9th. Ed. New Jersey. Prentice Hall. • Whitman, M. & Mattord, H. (2012). Management of Information Security. Boston. Course Technology. 9
Search
Read the Text Version
- 1 - 9
Pages:
