Inves&gación,Digital,
y,Cibercriminalidad
UNA,AMENAZA,GLOBAL
Carlos,Ramírez,,CPP ¿Dónde,queda,el,norte?
¿Cómo&podemos&romper&silos&internosy&encausar&nuestros&esfuerzos&de&una&prevención&e&inves7gación&del&cibercrimen&hacia&obje7vos&específicos? DesaJos,
¿Puede&usted&pensar&como&delincuente
La&verdad,&
TODOS&podemos
Pero&la&MAYORÍA
de&nosotros&
tenemos&una
alta$integridad$
personal
Triada&CID
CONFIDENCIALIDAD
SegInfo,+,eForensics
Aplicación,de,técnicas,cienQficas,y,
analí&cas,a,infraestructura,de,cómputo
1
IDENTIFICAR
2
PRESERVAR
e-Forensics
4
PRESENTAR
3
ANALIZAR
INTEGRIDAD
DISPONIBILIDAD
Evidencia,digital,en
un,procedimiento,legal
4
Módelo'de'Seguridad'NSTISSC'404011
http://www.nstissc.go
Cubo de seguridad CID/APT
(3 x 3 x 3 = 27)
P + E + T
Confidencialidad
Integridad
Disponibilidad
Política + Educación + Tecnología
Confidencialidad
Integridad
Disponibilidad
http://www.nstissc.gov/html/library.html
Almacenamiento
Procesamiento
Transmisión
Almacenamiento
Procesamiento
Transmisión
5
Clasificación,de,atacantes
El profesional en IF necesita
conocer, afianzar y desarrollar tres roles
Intruso
Administrador
Investigador
Faceta útil para:
Conocer cómo piensan,
operan y actúan los atacantes.
Faceta útil para:
Responder las preguntas básicas
de la investigación ¿Q+Q+C+D+C+P?
Faceta útil para:
Comprender la responsabilidad de la configuración
de la infraestructura informática
6
Clasificación,de,atacantes
Furnell, 2002. Updated 2011, CRA.
Motivación
Ciber
terroristas Phreakers
Script
Kiddies
5
Crackers Desarrollo
de virus
4
Atacante
interno
Reto
Ego
Espionaje
Ideología
Dinero
4
Venganza
4
Comprender la mente de los intrusos implica referirse a las motivaciones que disparan sus
acciones. “Iter Criminis” camino del delito (IDEC*); Triángulo del Fraude: N➔O➔R**
*Ideación,+deliberación,+ejecución,+consumación+
**+Necesidad,+Oportunidad,+Racionalización+
7
Faceta,del,Intruso
Características
Psicológicas
Intruso interno
• Motivado generalmente por
situación personal o laboral.
• Inestabilidad emocional.
• Socialmente hábil para recabar
información y conocer a sus
víctimas
Técnicas
• Conocimiento detallado de fallas
en procedimientos y regulaciones
internas.
• Conocedor y estudioso de la
operación de la organización y su
modelo de procesos y controles.
• Conocedor de los mecanismos
de seguridad y control.
Intruso externo
• Motivado generalmente por reto
tecnológico y compensación
económica.
• Sensación de control y poder
sobre un tercero.
• Relaciones basadas en
conocimientos y logros.
• Conocedor y estudioso de las
fallas tecnológicas de los sistemas
objetivo.
• Conocedor y usuario de técnicas
de evasión de investigaciones.
• Cuenta con un laboratorio de
pruebas para verificar previamente
sus acciones.
8
Herramientas,eForensics
Ejemplo(de(Herramientas(u2lizadas(en(procedimientos(forenses(informá2cos(
Admón.(del(
SW(
Licencia(
Imagen(
Control(de(
integridad(
Análisis(
caso(
EnCase'
Forensic'
Toolkit'
Winhex'
Sleuth'Kit'
Sí'
Sí'
Sí'
No'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Sí'
Rango'de'precios'de'estas'herramientas:'USD'600'y'USD'5000'
www.encase.com/products/ef_index.asp'
www.accessdata.com/product/utk/'
www.xJways.net/forensics/indexJm.html'
www.sleuthkit.org'
www.eJevidence.info/vendors.html'
9
Iden&ficación,de,rastros
Auditabilidad
Seguimiento y reconstrucción
Alerta y registro
Si la inseguridad informática es la constante
en un mundo interconectado, la atención de
incidenes debería ser la norma.
Trazabilidad
10
Herramientas,de,Análisis,VisualPREVENCIÓN,DEL,FRAUDEHerramientas,de,Análisis,VisualInves&gación,Digital Proceso,de,Inves&gación
Definición(aceptada
Una&inves8gación&es...
•&El&examen...
•&minucioso,&sistemá8co&y&completo...
•&sobre&algo&o&alguien...
•&así&como&el®istro&de&hechos...
•&e&información&obtenida...
• para&presentarlos&en&un&reporte&de&
resultados
Proceso,de,Inves&gación
Propósito
La&inves8gación&en&ambientes&corpora8vos&
puede&tener&varios&propósitos.&Ej.
•&Documentar&incidentes
• Iden8ficar&la&causa&de&situaciones&no&
• Correlacionar&hechos&sobre&una&situación&
deseables
legal
ilícitos
• Iden8ficar&sospechosos&involucrados&en&
• Compilar&información&en&la&probanza&de&
• Facilitar&tomas&de&decisiones&en&procesos&del&
alegatos
8po&due&diligence
Proceso,de,Inves&gación
Géneros
Existen&tres&géneros&de&inves8gaciones:
•(Criminal(o(No(Criminal
• Persigue&un&resultado&judicial,&
administra8vo&u&otra&acción&disciplinaria
• Pro(ac8va(o(Reac8va
• Previene&conductas&ilícitas&o&responde&
a&un&riesgo&materializado
• Abierta(o(Encubierta
• Acciones&tác8cas&y&opera8vas¶&
conocimiento&público&o&restringido&a&
ciertas&personas
Proceso,de,Inves&gación
Operativo
especial
Investigación por
actos violentos
Investigación
financiera o de
antecedentes
Investigación de
ilícitos internos
Criminal
Proactivo
Encubierta
Criminal
Reactivo
Abierta
No Criminal
Proactivo
Abierta
No Criminal
Reactivo
Encubierta
TipoInves8gaciónEnfoqueModalidad Proceso,de,Inves&gación
•&Obje8vidad
•&Profundidad
•&Relevancia
•&Precisión
•&Temporalidad
A&niveles&
estratégico
y&opera8vo
El&proceso&de&inves7gación&es&una&ciencia&y&un&
arte.&El&arte&se&manifiesta&por&sí&mismo&al&aplicar&
las&cualidades.
Proceso,de,Inves&gación
•,Alguien,que,busca,la,verdad
• Alguien,que,no,juzga,sin,bases
• Alguien,que,es,metódico,y,minucioso
• Alguien,que,no,es,agresivo
• Alguien,que,se,conduce,con,la,ley
• Alguien,que,acepta,retos
• Alguien,que,es,imparcial
• Alguien,que,se,actualiza,en,lo,legal
• Alguien,que,&ene,resistencia
• Alguien,que,trabaja,en,equipo
•,Alguien,que,requiere,poca,supervisión
• Alguien,que,maneja,bien,los,detalles
• Alguien,que,&ene,buena,memoria
• Alguien,que,es,muy,buen,observador
• Alguien,que,desea,ser,exitoso
• Alguien,que,&ene,paciencia
• Alguien,que,es,seguro,de,si,mismo
• Alguien,que,&ene,una,buena,familia
• Alguien,que,convive,con,la,comunidad
• Alguien,que,está,al,día,en,las,leyes,
Proceso,de,Inves&gación
1. Planeación$y$
Preparación
2.$Obtención$
de$información
5.$Prevención$
y$Educación
4.$Disciplina$y$
Acción$CorrecAva
Recomendación&ASISRPCI
3.Verificación$y$Análisis
1. Vigilancia$Física
6. Entrevistas$e$
Interrogatorios
Proceso,de,Inves&gación
2. Vigilancia$Electrónica
3. Recolección$de$
3. Recolección$de$
Inteligencia
Inteligencia
5. Operaciones$
5. Operaciones$
Encubiertas
Encubiertas
4. Análisis$de$Inteligencia$(i2)$
y$Análisis$Forense$(EnCase)
Fase,de,,obtención,de,información Inicio'
No'
Equipo'localizado'
Realizar'test'monitor/sleep'
Si'
¿Proceso''
destrucFvo'en'
curso?'
No'
¿Equipo'
en'RED?'
Si'
Protocolo,del,IACIS
¿Equipo'
prendido?'
No'
Si'
No'
¿Se'trata'de'
un'servidor?'
Si'
¿Transfer'
de'datos'o'proceso'
en'curso?'
Documentar''proceso'
o'transferencia'
Llamar''
al'
experto'
No'
Aislar'
Buscar'si'hay'
encripción'
Desconectar'el'cable'
Entrevistar'acerca''
de'la'encripción'
Si'
¿Encripción''
detectada?'
Toma'fotográfica.'
Documentar'conexiones.'
Documentar'acciones.'
No'
'
'
'
*
Primero'en'
responder'al'llamado'
(First'Responder)'
Flujograma'para'el'
aseguramiento'de'la'
evidencia'Qsica'y'digital'
Interna'onal*Associa'on*of*
Computer*Inves'ga've*
Specialists*(IACIS).*2011*
Fin'
Entrevista'conveniente'
Colectar'evidencia'asociada'
Colectar'fuente'de'poder'
Resguardar'
y'eFquetar'
Traducido)y)adaptado)por)C.)R.)
20
Vulnerabilidad
I
n
v
e
s
t
i
g
a
c
i
ó
n
Respuesta
Protocolo,del,IACIS
Vulnerabilidad
Prueba y verificación de la integridad de estaciones
de trabajo y red de servidores.
La integridad implica la seguridad física,
detección de intrusión a la red y respuesta
a incidentes.
Investigación
Integrar un equipo de investigación forense es lo
más apropiado: quien conduzca el análisis forense,
el abogado conocedor de sistemas y el criminólogo/
criminalista.
Respuesta
Revisar: Special Publication 800-61 Computer
Security Incident Handling Guide.
Revisar: Special Publication 800-86
Guide to Integrating Forensic Techniques into
Incidente Response
Material traducido al español con autorización de GSI
21
Protocolo,del,IACIS
COBIJO SOCIAL
Por intimidación o la
cooptación de
personas y comunidades
para inhibir la denuncia y
operar en la impunidad
Corrupción de
autoridades
Protección
Institucional
M
e
r
c
a
d
o
CRIMEN
ORGANIZADO
PIRÁMIDE DE LA
EVOLUCIÓN DELICTIVA
Logística
Creación de estructuras
operativas locales para
financiar actividades ilícitas
Control territorial para
administrar la delincuencia
local y vender protección a
ciudadanos
Primero, delitos de bajo
impacto (Ej. robo a
transeúntes), se escala a
robos en casa-
habitación, después
violencia y delitos de alto
impacto como secuestro
y fraudes financieros
computacionales con
bandas organizadas
trasnacionales.
22
NIST
CICLO DE VIDA DE RESPUESTA A INCIDENTES
PREPARACIÓN
DETECCIÓN
Y
ANÁLISIS
CONTENCIÓN
ERRADICACIÓN
RECUPERACIÓN
Y
ACCIONES
DESPUÉS
DEL
INCIDENTE
PROCESO FORENSE COMPUTACIONAL
RECOLECCIÓN
EXAMINACIÓN
ANÁLISIS
REPORTE
Medio
Datos
Información
Evidencia
Ver “Computer Security Incident
Handling Guide” Section 1 Special
Publication 800-61
Ver “Guide to Integrating Forensic
Techniques into Incident Response”
Section 2 Special Publication 800-86
RECOMENDACIONES DEL
National Institute of
Standards and Technology
Guidance Software, Inc
TRADUCIDAS AL ESPAÑOL
23
Tratamiento4de4Ilícitos
ORGANIZACIÓN,DELICTIVA:,MEXICANOS\COLOMBIANOS\VENEZOLANOS
CLONACIÓN,DE,TARJETAS,DE,CRÉDITO,,DÉBITO,Y,OBTENCIÓN,DE,NIPS
GRABACIÓN DE AUDIO REAL OBTENIDA POR AUTORIDADES
CONVERSACIÓN ENTRE
Comentarios de: Investigación Digital y Cibercriminalidad (0)
No hay comentarios