3. I NFORMÁTICA F ORENSE
La IF es la rama de la informática relacionada con la
obtención y el análisis de los datos contenidos en un
medio de almacenamiento magnético de tal forma que
su información pueda ser utilizada como EVIDENCIA
PROBATORIA ante un ente judicial demostrando la
comisión de un delito
Puede ser usada para probar un delito convencional en
el que se usó un computador, o un delito informático
cometido desde un computador.
4. I NFORMÁTICA F ORENSE P ERMITE:
R ecolectar la evidencia de forma rápida , segura, eficiente y precisa .
A nalizar la evidencia para determinar el origen y contenido de la
información, y su valor probatorio.
P resentar apropiadamente la información ante un ente judicial de tal modo
que se pueda aplicar la ley que tipifica los delitos (que pueden o no ser
informáticos).
R ecuperar de manera parcial o total datos que han sido:
Borrados
Alterados
Sobrescritos
5. I NFORMÁTICA F ORENSE P ERMITE:
E ncontrar, interpretar y analizar adecuadamente evidencia
digital presente en grandes volúmenes de datos
P roveer mecanismos para preservar la información de tal
forma que se mantenga su valor probatorio
M anipular la información, de tal forma que se preserve la
integridad de la evidencia
6. I NFORMÁTICA F ORENSE P ERMITE:
U tilidad en casos comerciales y otros crímenes para
determinar:
• D estrucción / robo / modificación de información
• U so no autorizado de los recursos de la empresa para
beneficio personal
• M ala utilización del correo electrónico
• A cceso no autorizado a sistemas de información.
8. Evidencias Digitales …
• Pruebas tradicionales en oposición a las electrónicas
Las pruebas electrónicas son mucho
más letales.
Module 1- Introduction
8
9. E VIDENCIA D IGITAL
La evidencia digital es única, cuando se le compara con otras formas de
“evidencia documental”. A comparación de la documentación en papel, la
evidencia computacional es frágil y una copia de un documento almacenado
en un archivo es idéntica al original. Otro aspecto único de la evidencia
computacional es el potencial de realizar copias no autorizadas de archivos,
sin dejar rastro de que se realizo una copia. Esta situación genera
problemas con respecto al robo de información comercial “secretos
Industriales”.
Se debe tener en cuenta que los datos digitales adquiridos de copias no se
deben alterar de los originales del disco, porque automáticamente se
invalidaría la evidencia. Es por esta razón que los investigadores deben
revisar constantemente sus copias, y que sean exactamente igual a la
original. CHECKSUM ó HASH
10. Cuerpo Técnico de Investigación
Dirección Seccional Barranquilla
Grupo de Delitos Informáticos
LOS DELITOS INFORMÁTICOS
DE LA FICCIÓN A LA REALIDAD
UNA AMENAZA REAL
11. ¿Qué tienen en común estos hombres?
Kahlid Abu Musab Ramzi
Mohammad Al-Zarqawi Binalshibh
11
12. ¿Qué tienen en común estos hombres?
Raul Reyes Ivan Rios Rodrigo
Tovar
14. C aracterísticas de la
I nformación
•Integridad
•Confidencialidad
•Disponibilidad
•Seguridad
15. s eguridad I nformática
Detección de intrusos : Detecta el
acceso no autorizado y proporciona
alertas e informes que se pueden analizar
en cuanto a la identificación de la
configuración y el programa de trabajo de
la máquina.
Filtrado de contenidos : Identifica y
elimina el tráfico no deseado, tanto en E-
mail como en Navegación.
Redes Privadas Virtuales (VPNs):
Protege las conexiones fuera del
perímetro lo que le permite a las
organizaciones comunicarse en Internet
de manera segura.
16. s eguridad I nformática
Administración de vulnerabilidades :
Descubre fisuras en la seguridad y sugiere
mejoras, se deben mantener actualizados los
sistemas tanto en hardware como en últimos
parches del sistema operativo.
Protección antivirus y Antispyware :
Protege contra los virus, gusanos y caballos de
Troya, adware, spyware y demás amenazas.
Respaldo y Recuperación: Se debe contar
con mecanismos adecuados de respaldo para
tener facilidad de continuar con la operación aún
cuando suceda un evento inesperado o
catastrofe que haya dañado los datos o
sistemas.
17. s eguridad I nformática
Alertas Tempranas: Es mejor
estar prevenido y ser el primero en
parchar y tomar las acciones
necesarias para evitar ser atacado,
desde mucho antes de que una
vulnerabilidad sea explotada, es
decir desde el momento en que la
vulnerabilidad es descubierta.
18. C oncepto
D elito Informático son todas las
conductas ilícitas realizadas por un ser
humano, susceptibles de ser
sancionadas por el derecho penal en
donde hacen un uso indebido de
cualquier medio informático, con la
finalidad de lograr un beneficio.
•Ser Humano (Alguien: Agente activo, Determinador)
•Conductas Ilícitas (Delito: antijurídico, típico y culpable)
•Beneficio. (Lograr algo)
19. c aracterísticas de los D elitos I nformáticos
• Son conductas criminales de cuello blanco
(white collar crime), en tanto que sólo un
determinado número de personas con ciertos
conocimientos (en este caso técnicos) pueden
llegar a cometerlas.
• Son acciones ocupacionales, en cuanto a que
muchas veces se realizan cuando el sujeto se
halla trabajando.
• Son acciones de oportunidad, ya que se
aprovecha una ocasión creada o altamente
intensificada en el mundo de funciones y
organizaciones del sistema tecnológico y
económico.
• Provocan serias pérdidas económicas, ya que
casi siempre producen "beneficios" de más de
siete cifras a aquellos que las realizan.
20. c aracterísticas de los D elitos I nformáticos
• Ofrecen posibilidades de tiempo y espacio, ya
que en milésimas de segundo y sin una
necesaria presencia física pueden llegar a
consumarse.
• Son muchos los casos y pocas las
denuncias, y todo ello debido a la misma
falta de regulación por parte del
Derecho.
Derecho
• Presentan grandes dificultades para su
comprobación, esto por su mismo carácter
técnico.
• Ofrecen facilidades para su comisión a los
menores de edad.
• Tienden a proliferar cada vez más, por lo que
requieren una urgente regulación.
• Por el momento siguen siendo ilícitos impunes
de manera manifiesta ante la ley.
21. c aracterísticas de los D elitos I nformáticos
• Evidentemente el artículo que resulta más
atractivo robar es el dinero o algo de valor. Por
lo tanto, los sistemas que pueden estar más
expuestos a fraude son los que tratan pagos,
como los de nómina, ventas, o compras. En
ellos es donde es más fácil convertir
transacciones fraudulentas en dinero y sacarlo
de la empresa.
• Por razones similares, las empresas
constructoras, bancos y compañías de seguros,
están más expuestas a fraudes que las demás.
22. ¿P orque O curren los f raudes ?
No existe política formal de seguridad.
La seguridad informática no es absoluta.
Falta de control sobre los cambios de
programas.
Personas no cuidan los NIP.
Falta de seguridad física sobre sistemas
y líneas de comunicación.
Personas y sistemas pueden ser
engañados mediante documentos
23. T ipos de F raudes E lectrónicos
Fraudescometidos mediante manipulación de
computadoras.
Falsificaciones Informáticas.
Daños o modificaciones de programas o datos
computarizados.
Afectación de la libertad individual.
Hurtos a través de cajeros automáticos.
Estafas a través de Internet.
Robos a través de Internet.
Generación de copias ilegales de software.
Clonación de tarjetas.
24. T ipos de A taques E lectrónicos
Virus.
Gusanos.
Bomba lógica o cronológica.
Infiltración de información. “Data leakage”
Carroña. “Scavenging”
Martillo. “Hacking”
Intercepción. “Eavesdropping”
$Redondeo. “Round Down”
Utilitarios de software. “Software utilities”
25. T ipos de A taques E lectrónicos
Enmascaramiento. “Masquerading”
Acceso no autorizado a servicios y
sistemas informáticos.
Piratas Informáticos o hackers
Reproducción no autorizada de programas
informáticos.
Phishing
Redes Sociales
Keylogger
Spyware
Ingeniería Social
Cartas Nigerianas
27. O trasC onductas I nvestigadas
Es importante resaltar que en nuestro
medio se realizan fraudes utilizando la
informática como medio, y que éstos se
ven reflejados en todos los delitos, es
decir, no se tratan específicamente de
conductas tipificadas en nuestro código
como delito informático.
•Delitos contra la administración Pública y de Justicia.
•Unidades de Delitos contra el Patrimonio Económico.
•Unidades de Derechos de Autor y Propiedad Intelectual.
•Delitos Contra la libertad Individual.
•Delitos Asociados a Derechos Humanos.
•Delitos contra la Libertad sexual y Menores.
28. E jemplo
CASO DE INJURIA A
TRAVES DE PAGINAS WEB
En páginas WEB de Redes Sociales o de
Anuncios, se presentan muchos casos
de Injuria o de Invasión a la Privacidad
de las personas debido a que es muy
fácil el acceso a la publicación de
fotografías, videos y/o datos biográficos
que pueden ser utilizados para fines
delictivos o de afectación de la imagen y
buen nombre de las personas.
29. I NVESTIGACIONES R ELACIONADAS
CON I NTERNET (correos electrónicos)
PROCEDIMIENTO UTILIZADO
• Se cita a la persona que coloco la denuncia con el propósito de ingresar a su cuenta
electrónica, y así extraer los mensajes de carácter amenazante, injurioso o extorsivos.
•Se ingresa al correo electrónico de la persona, en donde es ella quien digita su usuario
y contraseña. Es importante resaltar que para fijar estas acciones se utiliza la función
PrintScreen, con la finalidad de documentar el proceso paso a paso.
•Se buscan los mensajes producto de la denuncia, y se configura la presentación del
correo electrónico, de tal forma que nos permita ver los encabezados de
direccionamiento IP.
•Se extraen los mismos como Elementos Materiales Probatorios mediante una
impresión y de ser posible se guardan en un medio de almacenamiento magnético para
que hagan parte del caso como evidencias físicas.
•Se realiza todo el proceso de cadena de custodia.
•Con el encabezado de direccionamiento IP se obtiene el ISP, a quien se le solicita la
información de datos biográficos de la persona que tiene adjudicada esa dirección IP.
30. M odalidades de F raude en C ajeros
A utomáticos
TRAMPAS EN DISPENSADOR
Con este dispositivo, se obstaculiza la salida del efectivo dispensado, el
cliente asume que la máquina presenta algún desperfecto y que no ha
efectuado la transacción y por ende el efectivo no ha sido debitado de la
cuenta.
Se utilizan láminas de plástico, acrílico o placas de radiografías que por su
flexibilidad pueden ser introducidas para impedir la salida del dinero.
31. M odalidades de F raude en C ajeros
A utomáticos
TRAMPAS EN LECTORA DE
TARJETAS
Es un dispositivo en forma de gancho que se ubica discretamente en la
entrada de la lectora del ATM. Tiene como propósito impedir la lectura de la
tarjeta e igualmente que sea devuelta al cliente.
El delincuente se acerca al cliente al identificar que tiene problemas con el
ATM, le dice que en algún momento le pasó lo mismo y le indica que
digitando la clave 2 ó 3 veces, el cajero devolverá su tarjeta.
32. M odalidades de F raude en C ajeros
A utomáticos
RETENEDOR DE
TARJETAS
Este es un dispositivo (motorizado o simple) que tiene como finalidad retener
la devolución de la tarjeta al cliente.
Al igual que en le caso anterior, para obtener la clave; el delincuente le indica
al cliente que digitándola (la clave) 2 ó 3 veces se solucionará el
inconveniente.
33. M odalidades de F raude en C ajeros
A utomáticos
RETENEDOR Y PRIMER
DUPLICADOR
DE BANDA MAGNÉTICA
Este dispositivo se instala internamente dentro de la Lectora del ATM por lo
que a simple vista es casi imposible de detectar.
Al momento de pasar la tarjeta, la información de la banda magnética es
copiada para posteriormente ser extractada; al tiempo y por medio de un
nylon o hilo delgado, la tarjeta es retenida. Para obtener la clave, acuden a
las situaciones de los casos anteriores.
34. M odalidades de F raude en C ajeros
A utomáticos
DUPLICADOR DE
BANDA MAGNÉTICA
(Skimming – Skimmer)
Dispositivo electrónico con memoria de almacenamiento y puerto de transmisión de datos
que se instala sobrepuesto al lector del ATM.
Es el más avanzado conocido hasta el momento debido a que no impide que el cliente
realice cualquier operación; al tiempo, duplica o copia la información de los T1 y T2 de las
bandas magnéticas de T.Débito y T.Crédito.
35. M odalidades de F raude en C ajeros A utomáticos
CÁMARAS DE VIDEO
Son instaladas muy cerca al
teclado del ATM.
Usualmente en:
Cajas de Balastos Electrónicos
Porta – Afiches de Publicidad
Bastidores que Simulan la
Estructura del ATM
Módulos de Iluminación del
Cajero
Infrarrojos de Sistemas de
Alarmas (cuando son
inhalambricas)
36. M odalidades de F raude en C ajeros
A utomáticos
CÁMARAS DE VIDEO
La clave es capturada y grabada en una memoria digital de gran capacidad.
En el caso de los equipos inhalambricos; el NIP es registrado por los mismos delincuentes en
un monitor que están observando al interior de un vehículo muy próximo al ATM.
37. M odalidades de F raude en C ajeros A utomáticos
LOCALIZACIÓN EQUIPO
DE DUPLICACIÓN DE
BANDA MAGNÉTICA CON
CÁMARA DE VIDEO
38. M odalidades de F raude en D atáfonos
MEMORIA PARA DUPLICADOR
DE BANDA MAGNÉTICA CON
MEMBRANA O “TAPETE”
Dispositivo electrónico mediante el cual se duplica la información de bandas magnéticas de
T. Débito y T. Crédito y al tiempo se captura la clave del cliente mediante una membrana.
Tanto los datos de las bandas magnéticas y las claves son almacenadas en memorias
instaladas en los mismos datafonos.
39. M odalidades de F raude en D atáfonos
MEMORIA PARA DUPLICADOR
DE BANDA MAGNÉTICA
Dispositivo en donde se almacena la información de los T1 y T2 de Tarjetas Débito y Crédito.
43. H ackers
ACTIVIDAD: Violenta sistemas y otros recursos de
tecnología de información.
CONOCIMIENTO: Gran habilidad tecnológica.
MOTIVACIÓN: divulga, compite, reúne trofeos es hostil
a las normas.
SOCIALIZACIÓN: infosociables (en el medio
tecnológico).
CRONOLOGIA: adolescentes adultos (10-50).
SU VISIÓN: Juega compite, síndrome de robin hood.
44. C rackers
ACTIVIDAD: Roba, Inactiva y destruye recursos de
TI.
CONOCIMIENTO: Gran habilidad tecnológica.
MOTIVACIÓN: Es hostil a las normas.
SOCIALIZACIÓN: Actúa en grupos pequeños
CRONOLOGIA: Cualquier Edad.
SU VISIÓN: Trabaja, libre ejercicio, reto, le gusta el
dinero.
45. C yber P unks
ACTIVIDAD: Destruye a través de virus, desactiva
recursos de TI, accesos ilegales, crea herramientas
de resistencia.
CONOCIMIENTO: Habilidad tecnológica especifica.
MOTIVACIÓN: Enemigo del sistema, intransigente.
SOCIALIZACIÓN: Actúa en grupos pequeños.
CRONOLOGIA: Cualquier Edad.
SU VISIÓN: Protesta, rebelde.
46. P irata I nformático
ACTIVIDAD: Comercio ilegal.
CONOCIMIENTO: Habilidad tecnológica limitada.
MOTIVACIÓN: Inconscientes, sin compromiso.
SOCIALIZACIÓN: Sólo grupos pequeños.
CRONOLOGIA: Cualquier Edad.
SU VISIÓN: Diversión, lucro fácil.
47. I nfotraficante
ACTIVIDAD: Comercializa contenidos robados.
CONOCIMIENTO: Habilidad tecnológica, contrata
Hackers principiantes.
MOTIVACIÓN: Dinero, sin interés en las TI.
SOCIALIZACIÓN: Actúa en bandas.
CRONOLOGIA: Jóvenes y frecuentemente adultos,
historiales delictivos.
SU VISIÓN: Negocios, se considera un empresario.
48. L amers
ACTIVIDAD: Roba información a través de otros
programas de DI.
CONOCIMIENTO: Son principiantes, están
comenzando a programar.
MOTIVACIÓN: Ingeniería Social, Venganza.
SOCIALIZACIÓN: Generalmente sólo o con
cómplices necesarios.
CRONOLOGIA: Todas las edades.
SU VISIÓN: No se intenta ver como delincuente, solo
restituye el equilibrio por inconformismos.
Module 1 - Introduction Anti Terrorism Assistance Program Incident Response Methodology
Module 1 - Introduction Anti Terrorism Assistance Program Incident Response Methodology Primary means of planning and communications ( the most valuable information we have received has not been from interrogations but from seized laptops computers). Khalid Sheikh Mohammad- Islamabad Pakistan Abu Zubaydah-Lahore Pakistan Ramzi Binalshibh -Karachi, Ramzi Yousef - Lahore Pakistan N ew evidence requires special handling. Specialized training is essential. Evidence demonstration. Transition into bullets 2 (Mission) and 3 (what we will do this week).