Adquisición de

Evidencias y Cadena
de Custodia
Paula Andrea Escobar Restrepo
 INSTRUCCIONE
S
Usted debe desarrollar este trabajo basado en el siguiente caso de
estudio: Demanda contra Raimundo tratando de resolver los
siguientes aspectos:

Las próximas diapositivas le guiarán sobre los siguientes aspectos a

resolver:

1) Contenedores de evidencias

2) Herramientas de adquisición de evidencias

3) Proceso adquisición de evidencias

4) Proceso cadena de custodia

2
 1. Contenedores de evidencias

Los rastros que deja un delito se deben buscar en algunos

componentes o dispositivos del entorno informático, de
acuerdo a la demanda presentada, proceda a:

1.1Identifique y describa qué elementos o dispositivos le

pueden aportar la información a la investigación forense.
R/. Con el objetivo de obtener pruebas en contra del demandado,lo primero que
se tiene que hacer es utilizar el computador portátil del señor Elton Tito, y acceder
a partes importantes del sistema operativo que sirven como fuentes de evidencia
para encontrar culpable al señor Armando Bronca,analizando que en ese
intervalo de tiempo , se haya utilizado el equipo y que tipo de diferentes,carpetas,
archivos, páginas web, conexiones activas y drivers cargados fueron abiertas en
dicho tiempo o que dispositivos externos se utilizaron para transferir
archivos.Otros elementos que pueden tener rastros del delito son los siguientes
datos generados.
MRU (Most Recently Used)
Memoria RAM
Disco duro, fecha y hora del sistema, copias de seguridad
sirve para encontrar información de los dispositivos
recientemente conectados al equipo, entre otros.
 2. Herramientas adquisición de
evidencias

Para la adquisición de evidencias se pueden utilizar una

variada gama de herramientas, algunas comerciales y otras
de software libre.

De acuerdo a lo anterior proceda a:

2.1 describa al menos cinco herramientas y las

principales características de cada una de ellas.
R/
Lista de herramientas cibernéticas forenses más utilizado por investigadores y peritos
informáticos en todo el mundo:
1.
SIFT-SANS: Esta herramienta tiene la capacidad de examinar discos en bruto, es decir los
datos en nivel de bytes asegurados directamente desde la unidad de disco duro o cualquier
otro medio de almacenamiento, Múltiples sistemas de archivos y formatos de evidencia. Se
basa en Ubuntu y es un Live CD que posee todas las herramientas,necesarios para realizar
una investigación forense en profundidad o una investigación de respuesta.
SIFT, es de código abierto y gratuito.
Sus principales características son las siguientes:
-
Sistema base de 64 bits.
-
Mejor utilización de la memoria.
-
Últimas herramientas y técnicas forenses.
-
Ayuda ampliada del sistema de archivos.
-
Compatibilidad cruzada entre Linux y Windows.
-
Actualizaciones y personalizaciones de paquetes.
Auto-DFRI.

2. ProDiscover forense: es una herramienta de seguridad informática que puede permitir a los
profesionales localizar todos los datos de un disco de almacenamiento en particular y a la vez
puede proteger la evidencia, así como crear un informe de documentación para las órdenes
legales.
Además tiene la capacidad de recuperar cualquier archivo eliminado del sistema víctima y
examinar el espacio libre.Puede acceder a flujos alternativos de Windows y permite tener una
vista previa y buscar o capturar el proceso, es decir, tomar una captura de pantalla del área
protegida de hardware (HPA). Características de esta herramienta:
-
Examina y cruza los datos en el archivo p nivel de
cluster para asegurarse de que no haya sido oculto,
incluso en el espacio libre.
-
Crea una copia Bit-Stream del disco que se
analizará, incluida la sección HPA oculta, para
mantener la evidencia original a salvo.
-
Busca archivos o un disco completo, incluyendo el
espacio slack, sección HPA y flujos de datos
alternativas de Windows NT/2000/XP para un
análisis forense completo del disco.
-
Permite obtener una vista previa de los archivos,
incluso si están ocultos o eliminados.

3. Marco de volatilidad:Es un marco que fue lanzado por Black Hat. Está relacionado con el
análisis avanzado de memoria y forense. Se centra básicamente en el análisis de la memoria
volátil en el sistema de las víctimas. La memoria volátil o los datos volátiles son los datos que
cambian con frecuencia y pueden perderse al reiniciar cualquier sistema. Dicho análisis se
puede hacer usando este Framework, pues tiene el poder de monitorear los procesos de
tiempo de ejecución y el estado de cualquier sistema utilizando los datos encontrados en la
memoria RAM.
Sus características son las siguientes:
-
Es de código abierto.
-
Es multiplataforma.
-
cuenta con una API extensible y programable.
-
Da cobertura completa de formatos tipo archivo.
-
Cuenta con comunidad seria y poderosa.
4. Kit de detective (+ Autopsia):Permite al usuario examinar imágenes de disco del dispositivo
víctima y recuperar los archivos dañados. Cuenta con una interfaz de comandos y
generalmente se usa en autopsia con muchas herramientas de código abierto o forense
comercial.
Entre sus características estas:
-
Muestra los eventos del sistema en una interfaz
gráfica para ayudar a identificar la actividad.
-
Extrae la actividad web de los navegadores comunes
para ayudar a identificar la actividad del usuario.
-
Identifica accesos directos y documentos accedidos.
-
Extrae la geolocalización y la información de la
cámara desde archivos JPEG.

5. CAINE (Entorno Investigación asistido por

Computadora):
Se basa en un entorno Linux, consiste en un CD que contiene una serie de herramientas
Forenses necesarios para realizar un análisis. Se basa en Ubuntu Linux LTS, MATE y LightDM.
Sus características son las siguientes:
-
Interfaz fácil de usar.
-
Es de código abierto.
-
Cuenta con un entorno actualizado y optimizado
para realizar análisis forense.
-
Genera informes de manera semiautomática.

6. Datos de acceso:es el principal proveedor de E-Discovery, Informática Forense de

Dispositivos Móviles y Ordenadores para corporaciones, bufetes de abogados y agencias
gubernamentales. Entre sus soluciones forenses digitales están Forensic ToolKit
(FTK), que proporciona un procesamiento e indexación exhaustivos iniciales, por lo que el
filtrado y la búsqueda son más rápidos que con cualquier otra
solución del mercado.
 3. Proceso adquisición de evidencias

En el siguiente sitio encontrará el enlace para descargar la

herramienta FTK Imager Lite, la cual le permitirá adquirir
una imagen digital
http://accessdata.com/product-download/ftk-imager-lite-ve
rsion-3.1.1, llene los datos que le solicitan para hacer la
descarga gratuita. Siga las instrucciones del proveedor para
instalar el aplicativo

Conecte a su computador una memoria USB y ejecute el

programa FTK Imager y en la pestaña File seleccione Create
Disk Image, siga las instrucciones, para, ello revise el
contenido Crear La Imagen Forense Desde Una Unidad
Utilizando FTK Imager Lite

Realizado lo anterior, proceda a:

3.1 (suponga la captura de una memoria USB)

Describa los pasos seguidos para capturar una imagen digital de
un dispositivo de almacenamiento con evidencias

Luego de realizar la descarga debemos de seguir los siguientes

pasos para capturar una imagen de un dispositivo de
almacenamiento:

8
-
Damos clic en Archivo, luego Crear imagen de disco, o Archivo y Crear Imagen de Disco.
-
Se presentará una ventana donde debemos de definir la fuente, en este caso será una unidad
USB,por ello se selecciona la opción “Physical Drive”.
-
Luego damos clic en el botón terminar o finalizar, nos Aparecerá una nueva ventana para
definir un destino,para la imagen, para ello se le da click en el botón agregar.
-
Luego sale una ventana para definir el tipo de la imagen de destino a crear, que en nuestro
caso es“Raw” o en bruto, es decir, será creado utilizando una herramienta como dd o dcfldd.
-
Luego damos clic en siguiente y saldrá una ventana que nos pedirá información sobre el ítem
de la evidencia.
-
Seguimos dando en siguiente, luego nos aparecerá la opción de destino donde se almacenará
la imagen forense, la cual es seleccionada haciendo clic en el botón Browse y además se
requiere nombrar la imagen forense y definir si la imagen resultante será dividida en varias
partes o sino no será fragmentada.
-
Se le da clic en el botón Finalizar, y se mostrará un resumen de las opciones seleccionadas.
-
Ya por último, se le da clic en el botón Inicio,para proceder a crear la imagen forense desde la
unidad
USB.
-
Al finalizar todo este procedimiento se presentan algunos resultados finales. Los resultados
muestran el número de sectores copiados. La generacion de un Hash MD5 y un Hash SHA-1.
Anotar la coincidencia entre el campo “Computed Hash” o Hash Calculado, es decir el hash
obtenido desde la
unidad USB.
-
y el campo “Report Hash” o Hash Reportado, el cual se genera desde la imagen forense
creada de nombre “unidadUSBKR.001”
9
 4. Proceso cadena de custodia

Tenga en cuenta la importancia que tiene la cadena de

custodia de las evidencia y los mecanismos de validación.

4.1 Defina cuál sería el procedimiento de cadena de custodia

si usted tuviera que responder ante un juez por las evidencias
adquiridas en el punto anterior.
R/
El procedimiento después de obtener una copia de la evidencia y tomar una fotografía o
imagen, es documentar todo el proceso, se debe de presentar ante el juez, teniendo en cuenta
una hoja de ruta, ya que al tener contacto con la prueba, nos volvemos garantes de su
resguardo y debemos de asegurar que dicha prueba conserve su autenticidad, inalterabilidad e
indemnidad; y que cuando se muestre sea exacta de lo incautado y garantice que lo analizado
fue lo mismo que se recogió.

Es por ello, que el objetivo debe ser que cuando se entregue la prueba se pueda comprobar su
trazabilidad, las condiciones adoptadas para salvaguardar,definir las personas encargadas de
su custodia y su traslado con el fin de evitar la contaminación de los medios probatorios.
Igualmente es importante, antes de entregar la prueba, asegurar su licitud y veracidad, es
decir,
verificar que tanto la obtención como la custodia se ha llevado a cabo sin vulnerar la ley.
Realizar un procedimiento riguroso, controlado y supervisible sobre la prueba y prestar total
atención desde que se incauta hasta que se presenta ante el juez establecido.

Entonces hay que crear el informe, registrando cada una de las evidencias, indicando el lugar,
la hora, la fecha, el nombre y la dependencia involucrada en el secuestro, la interacción
posterior y su depósito en la sede que corresponda.

Por último otro proceso a tener en cuenta es que un bit no es similar, sino idéntico a otro bit. De
ahí que una copia bit a bit de un archivo digital es indiferenciable de su original, esto significa
que no puede establecerse cuál es el original y cuál su copia, salvo que hayamos presenciado
el proceso de copiado y tengamos conocimiento sobre cuál era el contenedor del original y cuál
el de la copia (método indirecto e independiente de los archivos considerados). Esto se
convierte en una ventaja desde el punto de vista de la cadena de custodia, ya que permite
preservar las copias, manteniendo el valor probatorio del original y evitando riesgos para el
mismo.

Bibliografía:
https://www.incibe-cert.es/blog/herramientas-forense-moviles

11