Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE...
Transcript of Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE...
![Page 1: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/1.jpg)
CONSIDERACIONES DE INFORMÁTICA FORENSE PARA
AUDITORES INTERNOS
Ing. Manrique González Avellaneda +54(911)4474-3578, [email protected],
www.linkedin.com/in/gonzalezavellaneda
Lic. Federico Luis Wallbrecher +54(911)3784-0575, [email protected]
Ciudad de Buenos Aires, Argentina
7 de Junio de 2019
![Page 2: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/2.jpg)
TALLER DE INFORMÁTICA FORENSE• ¿Cómo proceder, como auditores internos, frente a la posible
comisión de un delito sobre o mediante equipos informáticos?
• ¿Cómo colaborar con un perito informático de parte para lograr
una correcta identificación, recolección, preservación, análisis y
presentación de la evidencia digital para evitar nulidades
procesales?
• Veremos ejemplos en distintos fueros.
• Se mostrarán algunos dispositivos de hardware y software aptos
para las tareas informático-forenses.
![Page 3: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/3.jpg)
INFORMÁTICA FORENSE
Es el conjunto multidisciplinario de teorías, técnicas y
métodos de análisis, que brindan soporte conceptual y
procedimental, a la investigación de la prueba
indiciaria informática.
![Page 4: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/4.jpg)
LA INFORMÁTICA FORENSE SE APOYA EN:
1.Informática.
2.Marco legal y regulatorio (varía según la
jurisdicción y el fuero).
3.Criminalística.
![Page 5: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/5.jpg)
APLICACIONES FRECUENTES DE LA INFORMÁTICA FORENSE EN EL ÁMBITO CORPORATIVO
• Distintos tipos de Fraude.
• Apropiación de activos (informáticos, información , propiedades, stocks, valores,
• Ciberataques de origen interno o externo que comprometa la seguridad de la información y su
infraestructura(C.I.A.). – Se deberá Mitigar, Identificar y preservar la evidencia.
• Incumplimiento de Políticas y/o regulaciones que afectan a la empresa (Compliance).
• Conflictos laborales.
• Soporte tecnológico a conflictos legales, societarios, Due Dilligence
• Uso inadecuado de los recursos informáticos de la empresa.
![Page 6: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/6.jpg)
POLÍTICA DE USO ACEPTABLE DE INTERNET
• Es especialmente importante en el ámbito corporativo el establecimiento políticas
claras que puedan tener validez ante la justicia. Para ello deben darse ciertos
factores:
• No debe estar atada al contrato de trabajo.
• Ser firmada por el trabajador.
• Redacción muy clara.
• Debe demostrarse la decisión de la empresa de hacerla cumplir en el tiempo
mediante capacitaciones periódicas, evaluaciones, monitoreo y sanciones iguales
para todos los infractores desde el primer día en adelante.
• Ejemplo de Política de uso aceptable de internet:
http://www.legistdf.gob.ar/index.php/politica-de-uso-aceptable-de-internet/
![Page 7: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/7.jpg)
CAPACITACIÓN Y CONCIENTIZACIÓN
• Además de las capacitaciones peródicas sobre las polícas de uso aceptable de los recursos informáticos de la
empresa necesarias para sostener la validez de las mismas ante una judicialización, existen otras que son
igualmente recomendables:
• Charlas de concientización sobre temas de ciberseguridad de origen interno y externo. La mayoría de los
incidentes de seguridad informática se originan desde dentro de la organización que es donde es más
vulnerable.
• Charlas de concientización sobre temas de ciberdelitos de origen internos y externos Ej. Delitos informáticos
propios e impropios.
![Page 8: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/8.jpg)
Subtipos de Informática Forense
![Page 9: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/9.jpg)
![Page 10: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/10.jpg)
Digital Forensics
![Page 11: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/11.jpg)
Digital Forensics
![Page 12: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/12.jpg)
Digital Forensics
![Page 13: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/13.jpg)
Digital Forensics
![Page 14: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/14.jpg)
Digital Forensics
![Page 15: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/15.jpg)
PARADIGMA INFORMÁTICO FORENSE1.IDENTIFICACIÓN
Se debe identificar los dispositivos físicos o virtuales
donde hallar la información relevante para nuestra
investigación.
![Page 16: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/16.jpg)
PARADIGMA INFORMÁTICO FORENSE1.IDENTIFICACIÓN
1.Estos pueden ser visibles y evidentes como discos
rígidos, Medios ópticos, Pen drives, discos portátiles,
etc.
2.O no tanto como, Memoria Ram, almacenamiento
en la nube, Dispositivos de red, móviles, ocultos,
cámaras de seguridad, Discos de formato menos
tradicional M2, o en SD, dispositivos IOT, GPS, etc.
![Page 17: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/17.jpg)
PARADIGMA INFORMÁTICO FORENSE2.RECOLECCIÓN
Principio fundamental: No alterar la evidencia.
• La recolección debe ser hecha por personal entrenado y
con metodología forense. La prioridad se debe
establecer según el caso. Ej. RAM> Swap> Disk> DVDs
• Establecer la cadena de custodia, que debe mantenerse
para probar que los datos recolectados no resultaran
alterados y documentar TODO.
![Page 18: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/18.jpg)
PARADIGMA INFORMÁTICO FORENSE2.RECOLECCIÓN
1.Etapa de preservación de la evidencia. En el ambiente
corporativo nos abocarnos a la preconstitución de la
prueba anticipada. Esto debe hacerse de forma de
minimizar el impacto operacional.
2.El resguardo debe hacerse con acta notarial contando
con la presencia de el requirente (apoderado), el
escribano certificante y el experto en informática forense.
![Page 19: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/19.jpg)
PARADIGMA INFORMÁTICO FORENSE2.RECOLECCIÓN
Adquisición de las imágenes forenses.
Se deben utilizar bloqueadores de escritura y hashes
para garantizar que no se modifica la evidencia,
herramientas de hardware y software probadas y
confiables para propósitos forenses y con las
licencias correspondientes.
![Page 20: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/20.jpg)
BLOQUEADORES DE ESCRITURA
Se trata dispositivos de hardware o de software que permite acceder a la
evidencia digital garantizando que no se modifique la misma. De esta forma se
puede hacer la adquisición de la imagen forense de la evidencia que consiste en
una copia bit a bit de la misma (obteniendo no una simple copia sino un original
que puede ser autenticado y verificado mediante un digesto matemático o hash)
![Page 21: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/21.jpg)
HASH
Digesto o síntesis o resumen de los datos. El hash o checksum criptográfico, es una función
matemática unidireccional e irreversible que convierte cualquier tamaño de los datos, en un
número de longitud fija. Es una función de autenticación.
Características del hash:
• Irreversible: dado un hash o resumen de los datos, debería ser imposible encontrar los
datos, a partir del hash o resumen.
• Compresión: el hash o resumen debe tener una longitud fija y debería ser menor al
tamaño de dicho conjunto de datos.
• Simple: el cálculo del hash o resumen a partir de un conjunto de datos, debe ser fácil y
sencillo.
• Complejo: el resumen o hash del conjunto de datos, debe ser una función compleja de
todos los bits que conforman el conjunto de datos.
• Libre de colisiones: las colisiones ocurren cuando dos entradas diferentes pueden
producir la misma salida. Será computacionalmente difícil encontrar dos conjuntos de
datos que devuelvan el mismo resultado de hash o resumen: hash(conjunto de datos) =
hash(conjunto de datos´).
![Page 22: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/22.jpg)
HASH
Existen diversos algoritmos de Hash que se pueden utilizar. Los más habituales son
md5 y sha1 combinados. Sobre todo porque los equipos de adquisición de
imágenes forenses comprados por nuestras fuerzas policiales y de seguridad
utilizan dichos algoritmos. Frente a los casos reportados de colisiones por
separado de estos algoritmos algunos utilizamos sha2 (256) y/o sha2 (512)
![Page 23: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/23.jpg)
METADATOS
Es información que forma parte integral de los archivos y que es generada por los
sistemas en forma automática. Esta información normalmente no queda a la vista
del usuario al abrir el archivo.
Puede contener por ejemplo, distintas fechas (modificación, acceso, creación, última
impresión, en qué máquina , con qué usuario, geolocalización, etc
Resultan de vital importancia en informática Forense desde para ver qué pasó con
un archivo, hasta para autenticar un mail.
https://blog.woodpecker.co/cold-email/spf-dkim/
https://www.metaspike.com/leveraging-dkim-email-
forensics/?utm_campaign=leveraging-dkim-in-email-
forensics&utm_medium=social_link&utm_source=missinglettr
![Page 24: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/24.jpg)
CADENA DE CUSTODIA
La Cadena de Custodia Informático Forense, tiene por objeto asegurar que la prueba documental
informática ofrecida cumple con los requisitos exigibles procesalmente para la misma, implica que debe
asegurar:
1. Trazabilidad: Se trata de establecer un mecanismo que permita realizar un seguimiento estricto de los
elementos probatorios, desde su detección hasta el momento de su disposición definitiva.
La trazabilidad es:
• Humana (determinación de responsabilidades en la manipulación de la prueba, desde su detección y
recolección, hasta su disposición final).
• Física (incluyendo la totalidad de los equipos locales o remotos involucrados en la tarea, sean estos de
almacenamiento, procesamiento o comunicaciones)
• Lógica (descripción y modelización de las estructuras de distribución de la información accedida y
resguardada)
2. Confiabilidad (integridad, autenticidad, confidencialidad, no repudio)
![Page 25: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/25.jpg)
CADENA DE CUSTODIA
Para que la prueba documental informática sea tenida por válida y adquiera fuerza probatoria
ante la justicia, es necesario que la prueba sea garantizada respecto de su confiabilidad,
evitando suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su destrucción
(algo muy común en la evidencia digital, ya sea mediante borrado o denegación de servicio).
Desde su recolección, hasta su disposición final, debe implementarse un procedimiento con
soporte teórico científico, metodológico criminalístico, estrictamente técnico y procesalmente
adecuado.
Si carece de alguno de estos componentes, la prueba documental informática recolectada no
habrá alcanzado el valor probatorio pretendido.
Este procedimiento se caracteriza por involucrar múltiples actores, los que deben estar
profundamente consustanciados de su rol a cumplir dentro del mismo, sus actividades a
desarrollar durante la manipulación de la prueba y sus responsabilidades derivadas.
Arellano - Darahuge 2019
![Page 26: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/26.jpg)
TÉCNICAS ANTIFORENSESExiste un número creciente de tipos de técnicas y productos que buscan dificultar el acceso a las
posibles evidencias digitales. Por ejemplo, cifrado, fuga de información, usos no autorizados de
los activos informáticos, malware, datos en general, y todo tipo de cibercrímenes.
Es importante tratar de detectar el uso de estas herramientas para aplicar las técnicas y
herramientas que puedan recuperar la evidencia digital tanto en la etapa 2 del paradigma
informático forense (recolección) como en la 3 (Análisis).
![Page 27: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/27.jpg)
CONCLUSIONES:• Labor de equipo experto.
• Planificar y trabajar pensando siempre en la judicialización.
• Resguardar con acta notarial y hashes.
• Respetar siempre las mejores prácticas y conservar la cadena de
custodia.
• Las tareas pueden insumir mucho tiempo y recursos. Requieren de
paciencia.
• Un paso en falso en el inicio puede hacer que la prueba no sirva.
![Page 28: Consideraciones de Informática Forense para Auditores internos · TALLER DE INFORMÁTICA FORENSE • ¿Cómo proceder, como auditores internos, frente a la posible comisión de un](https://reader033.fdocument.pub/reader033/viewer/2022041911/5e67877cd04a63382d64e5eb/html5/thumbnails/28.jpg)
- DIGITAL FORENSICS LAB –
A LOS EFECTOS DE ESTE TALLER NOS CONCENTRAREMOS AHORA EN LA ETAPA DE
RECOLECCIÓN DEL PARADIGMA DE INFORMÁTICA FORENSE.
Ing. Manrique González Avellaneda +54(911)4474-3578, [email protected],
www.linkedin.com/in/gonzalezavellaneda
Lic. Federico Luis Wallbrecher +54(911)3784-0575, [email protected]