Diplomado en
INFORMÁTICA FORENSE
Este diplomado hace parte del Programa Ingeniería de Sistemas
Duración
Metodología
Documentos
- Formulario de inscripción diligenciado y con firma.
- 2 fotografías tipo documento 3×4 fondo blanco.
- Fotocopia de la cédula de ciudadanía ampliada al 150% o equivalente según el país de origen del estudiante, pasaporte y visa.
- Consignación del pago de matrícula.
Presentación
La informática forense también conocida como computación forense, análisis o examen forenses digital consiste en la aplicación de métodos, técnicas científicas y analíticas muy especializadas a infraestructuras de índole tecnológico que permiten identificar (adquisición), preservar, analizar, documentación y presentar (welivesecurity, 2015) datos válidos en un proceso legal.
Mediante las técnicas y metodologías se pueden reconstruir elementos informáticos, examinar minuciosamente los datos sobrantes, autenticar la veracidad de los datos y explicar profesionalmente las características técnicas del uso de datos y recursos informáticos dada la definición anterior, esta disciplina no solo usa tecnologías de punta para preservar la integridad de los datos y del procesamiento de los mismos; sino que también requiere de un conocimiento especializado y avanzado en materia de informática y sistemas de información para poder detectar y dictaminar qué ha pasado dentro de cualquier dispositivo electrónico. La formación del informático forense incluye no solo el conocimiento del software como también en hardware, redes de datos, seguridad informática, piratería, hackeo, craqueo y recuperación de información.
La informática forense también se enfoca en detectar pistas sobre ataques cibernéticos e informáticos, hurto de información, conversaciones ya sea en chats o redes sociales o evidencias que reposan en correos electrónicos.
La evidencia digital o electrónica suele ser extremadamente frágil, de ahí el hecho de la importancia de mantener y preservar su integridad. El simple hecho de verificar un archivo cambiará la última fecha de acceso del mismo.
La informática forense permite realizar la recolección de pruebas para presentar esas evidencias mediante una cadena de custodia en un proceso legal donde se ha cometido algún delito que “podemos definir como un acto o hecho, que viola una norma o ley y utiliza medios tecnológicos para su consecución y que están encaminados a atacar la integridad, confidencialidad y disponibilidad de los activos de información en un sistema informático” (Pedro, 2014).
Aplicación de la informática forense para resolver delitos informáticos
El análisis forense digital implica la investigación de delitos informáticos con el objetivo de obtener pruebas para presentarlas en un tribunal de justicia. En este curso, aprenderá los principios y técnicas para la investigación forense digital y el espectro de herramientas informáticas forenses disponibles.
Aprenderá sobre los procedimientos forenses básicos para garantizar la admisibilidad judicial de las pruebas, así como las implicaciones legales y éticas. Aprenderá a realizar una investigación forense en sistemas Unix / Linux y Windows con diferentes sistemas de archivos. También será guiado a través de las fases forenses como son: identificación, preservación, análisis y presentación de pruebas.
Conocimiento Previo
Se sugiere el conocimiento básico sistemas operativos, redes, hardware y seguridad informática.
Es importante que los estudiantes participen activamente en el proceso de formación, realizando las actividades pedagógicas propuestas. Se hace imprescindible la asistencia y cumplir con competencias comunicativas en todas sus formas : lectura, escritura ámbito investigativo y comunicación. Es necesario para las destrezas del manejo de las herramientas y la aplicación de técnicas y metodologías en la practica forense hacer uso de su pensamiento crítico-reflexivo, creativo y metódico (deductivo e inductivo) con un aprendizaje personal y colaborativo del grupo.
Objetivos
Para trabajar los objetivos planteados, se propone la realización de un conjunto de actividades de aprendizaje. Las actividades están directamente relacionadas con los módulos formativos propuestos y constituyen una forma de aplicar el conocimiento adquirido a través de los diferentes temas que estén directamente relacionados con éstos.
La carga lectiva asumida por el estudiante en cada una de las actividades propuestas se distribuye de la siguiente manera: El total del espacio académico tiene un total de 75 horas de actividad lectiva con 15 horas adicionales de acompañamiento directo del docente en el espacio de clase, expresadas en cuanto al trabajo personalizado de cada estudiante, que es posible ver en la forma de actividades.
CONTENIDO
Introducción a la informática forense
The digital forensics, forensia digital, trata de conjugar de manera amplia la nueva especialidad. Podríamos hacer semejanza con informática forense, al ser una forma de aplicar los conceptos, estrategias y procedimientos de la criminalística tradicional a los medios informáticos especializados, con el fin de apoyar a la administración de justicia en su lucha contra los posibles delincuentes o como una disciplina especializada que procura el esclarecimiento de los hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, ¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el contexto de la administración de la inseguridad informática. (Cano, s.f.
Identificación
Procesamiento de la cadena de custodia
La cadena de custodia en la ciencia forense cibernética digital también se conoce como rastro de papel o enlace forense, o documentación cronológica de la evidencia.
La cadena de custodia indica la recolección, secuencia de control, transferencia y análisis.
También documenta los detalles de cada persona que manejó la evidencia, la fecha y hora en que fue recolectada o transferida, y el propósito de la transferencia.
Da confianza a los tribunales y al cliente de que la evidencia no ha sido alterada.
La evidencia digital se adquiere a partir de una gran variedad de dispositivos, como una gran cantidad de dispositivos de IoT (Iinternet de la Cosas) , evidencia de audio, grabaciones de video, imágenes y otros datos almacenados en discos duros, pendrive y otros medios físicos.
Identificación de la fuente de evidencia
Como sabrá cualquier investigador forense digital, uno de los principales desafíos que plantea casi cualquier caso es la gran cantidad de datos y la cantidad de fuentes disponibles para trabajar. Una habilidad útil que se debe tener es la capacidad de mirar a través de las fuentes de evidencia involucradas con un caso y hacer un juicio de valor sobre cuál será probablemente la más útil.
Preservación
“La preservación digital es un aspecto importante para garantizar la autenticidad, la trazabilidad y la auditoría en procesos”. (R. Mayer, 2014). La preservación es un proceso complejo no solo por la creciente complejidad de los objetos digitales, sino también porque el contexto de uso debe ser recreado. Esto significa que se requiere mantenimiento para los datos, para cualquier software específico que se utilizó para trabajar con esos datos y para la infraestructura tecnológica (Dobreva, 2012).
Análisis
En la fase de análisis, los investigadores forenses conectan todos los puntos y pintan una imagen completa para el solicitante. Se establece una lista de chequeo y para cada elemento de la lista de datos relevantes, los investigadores responden preguntas como quién, qué, cuándo, dónde y cómo. Intentan explicar qué usuario o aplicación creó, editó, recibió o envió cada elemento, y cómo surgió originalmente. Los investigadores también explican dónde lo encontraron. Lo más importante es que explican por qué toda esta información es importante y qué significa para el caso.
A menudo, se pueden producir el análisis más valioso al observar cuándo sucedieron las cosas y producir una línea de tiempo que cuente una historia coherente. Para cada elemento relevante, intentan explicar cuándo fue creado, accedido, modificado, recibido, enviado, visto, eliminado y lanzado. Observan y explican una secuencia de eventos y anotan qué eventos sucedieron al mismo tiempo.
Presentación
Es la documentación de todos los pasos realizados sobre la evidencia, para posteriormente realizar los informes pertinentes. Se establecen 2 etapas:
Etapa 1: formularios de registro del incidente que contiene los siguientes registros o formularios:
- Registro de custodia de la evidencia.
- Registro de identificación de equipos y componentes.
- Registro de incidencias tipificadas.
- Registro de publicación del incidente.
- Registro de recogida de evidencias.
- Registro de discos duros con su correspondiente validación hash
Etapa 2: Informe técnico
Es el desarrollo de un reporte donde se detallan los aspectos técnicos del análisis efectuado.
Etapa 3: Informe Ejecutivo
Este informe debe ser mucho más sucinto en su presentación, empleando expresiones más entendibles, no esta dirigido al personal técnico. En este documento determina los hechos ocurridos en el sistema que ha sido atacado.