PDF de programación - Investigación Digital y Cibercriminalidad

Inves&gación,Digital,
y,Cibercriminalidad

UNA,AMENAZA,GLOBAL

Carlos,Ramírez,,CPP ¿Dónde,queda,el,norte?

¿Cómo&podemos&romper&silos&internosy&encausar&nuestros&esfuerzos&de&una&prevención&e&inves7gación&del&cibercrimen&hacia&obje7vos&específicos? DesaJos,

¿Puede&usted&pensar&como&delincuente

La&verdad,&

TODOS&podemos

Pero&la&MAYORÍA
de&nosotros&
tenemos&una
alta$integridad$
personal

Triada&CID

CONFIDENCIALIDAD

SegInfo,+,eForensics

Aplicación,de,técnicas,cienQficas,y,

analí&cas,a,infraestructura,de,cómputo

1

IDENTIFICAR

2

PRESERVAR

e-Forensics

4

PRESENTAR

3

ANALIZAR

INTEGRIDAD

DISPONIBILIDAD

Evidencia,digital,en

un,procedimiento,legal

4

Módelo'de'Seguridad'NSTISSC'404011

http://www.nstissc.go

Cubo de seguridad CID/APT

(3 x 3 x 3 = 27)

P + E + T

Confidencialidad

Integridad

Disponibilidad

Política + Educación + Tecnología

Confidencialidad

Integridad

Disponibilidad

http://www.nstissc.gov/html/library.html

Almacenamiento

Procesamiento

Transmisión

Almacenamiento

Procesamiento

Transmisión

5

Clasificación,de,atacantes

El profesional en IF necesita

conocer, afianzar y desarrollar tres roles

Intruso

Administrador

Investigador

Faceta útil para:
Conocer cómo piensan,
operan y actúan los atacantes.

Faceta útil para:
Responder las preguntas básicas
de la investigación ¿Q+Q+C+D+C+P?

Faceta útil para:

Comprender la responsabilidad de la configuración

de la infraestructura informática

6

Clasificación,de,atacantes

Furnell, 2002. Updated 2011, CRA.

Motivación

Ciber

terroristas Phreakers

Script
Kiddies

5

Crackers Desarrollo
de virus

4

Atacante
interno

Reto

Ego

Espionaje

Ideología

Dinero

4

Venganza

4

Comprender la mente de los intrusos implica referirse a las motivaciones que disparan sus

acciones. “Iter Criminis” camino del delito (IDEC*); Triángulo del Fraude: N➔O➔R**

*Ideación,+deliberación,+ejecución,+consumación+
**+Necesidad,+Oportunidad,+Racionalización+

7

Faceta,del,Intruso

Características

Psicológicas







Intruso interno
•  Motivado generalmente por
situación personal o laboral.
•  Inestabilidad emocional.
•  Socialmente hábil para recabar

información y conocer a sus
víctimas

Técnicas








•  Conocimiento detallado de fallas
en procedimientos y regulaciones
internas.

•  Conocedor y estudioso de la

operación de la organización y su
modelo de procesos y controles.
•  Conocedor de los mecanismos

de seguridad y control.

Intruso externo

•  Motivado generalmente por reto
tecnológico y compensación
económica.
•  Sensación de control y poder
sobre un tercero.
•  Relaciones basadas en
conocimientos y logros.
•  Conocedor y estudioso de las
fallas tecnológicas de los sistemas
objetivo.
•  Conocedor y usuario de técnicas
de evasión de investigaciones.
•  Cuenta con un laboratorio de
pruebas para verificar previamente
sus acciones.

8

Herramientas,eForensics

Ejemplo(de(Herramientas(u2lizadas(en(procedimientos(forenses(informá2cos(
Admón.(del(

SW(

Licencia(

Imagen(

Control(de(
integridad(

Análisis(

caso(

EnCase'

Forensic'
Toolkit'
Winhex'
Sleuth'Kit'

Sí'

Sí'

Sí'
No'

Sí'

Sí'

Sí'
Sí'

Sí'

Sí'

Sí'
Sí'

Sí'

Sí'

Sí'
Sí'

Sí'

Sí'

Sí'
Sí'

Rango'de'precios'de'estas'herramientas:'USD'600'y'USD'5000'

www.encase.com/products/ef_index.asp'
www.accessdata.com/product/utk/'
www.xJways.net/forensics/indexJm.html'
www.sleuthkit.org'
www.eJevidence.info/vendors.html'

9

Iden&ficación,de,rastros

Auditabilidad

Seguimiento y reconstrucción

Alerta y registro

Si la inseguridad informática es la constante
en un mundo interconectado, la atención de
incidenes debería ser la norma.

Trazabilidad

10

Herramientas,de,Análisis,VisualPREVENCIÓN,DEL,FRAUDEHerramientas,de,Análisis,VisualInves&gación,Digital Proceso,de,Inves&gación

Definición(aceptada

Una&inves8gación&es...
•&El&examen...
•&minucioso,&sistemá8co&y&completo...
•&sobre&algo&o&alguien...
•&así&como&el&registro&de&hechos...
•&e&información&obtenida...
• para&presentarlos&en&un&reporte&de&

resultados

Proceso,de,Inves&gación

Propósito
La&inves8gación&en&ambientes&corpora8vos&
puede&tener&varios&propósitos.&Ej.
•&Documentar&incidentes
• Iden8ficar&la&causa&de&situaciones&no&

• Correlacionar&hechos&sobre&una&situación&

deseables

legal

ilícitos

• Iden8ficar&sospechosos&involucrados&en&

• Compilar&información&en&la&probanza&de&

• Facilitar&tomas&de&decisiones&en&procesos&del&

alegatos

8po&due&diligence

Proceso,de,Inves&gación

Géneros
Existen&tres&géneros&de&inves8gaciones:
•(Criminal(o(No(Criminal

• Persigue&un&resultado&judicial,&

administra8vo&u&otra&acción&disciplinaria

• Pro(ac8va(o(Reac8va

• Previene&conductas&ilícitas&o&responde&

a&un&riesgo&materializado

• Abierta(o(Encubierta

• Acciones&tác8cas&y&opera8vas&para&

conocimiento&público&o&restringido&a&
ciertas&personas

Proceso,de,Inves&gación

Operativo
especial

Investigación por
actos violentos

Investigación
financiera o de
antecedentes

Investigación de
ilícitos internos

Criminal

Proactivo

Encubierta

Criminal

Reactivo

Abierta

No Criminal

Proactivo

Abierta

No Criminal

Reactivo

Encubierta

TipoInves8gaciónEnfoqueModalidad Proceso,de,Inves&gación

•&Obje8vidad
•&Profundidad
•&Relevancia
•&Precisión
•&Temporalidad

A&niveles&
estratégico
y&opera8vo

El&proceso&de&inves7gación&es&una&ciencia&y&un&
arte.&El&arte&se&manifiesta&por&sí&mismo&al&aplicar&
las&cualidades.

Proceso,de,Inves&gación

•,Alguien,que,busca,la,verdad
• Alguien,que,no,juzga,sin,bases
• Alguien,que,es,metódico,y,minucioso
• Alguien,que,no,es,agresivo
• Alguien,que,se,conduce,con,la,ley
• Alguien,que,acepta,retos
• Alguien,que,es,imparcial
• Alguien,que,se,actualiza,en,lo,legal
• Alguien,que,&ene,resistencia
• Alguien,que,trabaja,en,equipo

•,Alguien,que,requiere,poca,supervisión
• Alguien,que,maneja,bien,los,detalles
• Alguien,que,&ene,buena,memoria
• Alguien,que,es,muy,buen,observador
• Alguien,que,desea,ser,exitoso
• Alguien,que,&ene,paciencia
• Alguien,que,es,seguro,de,si,mismo
• Alguien,que,&ene,una,buena,familia
• Alguien,que,convive,con,la,comunidad
• Alguien,que,está,al,día,en,las,leyes,

Proceso,de,Inves&gación

1. Planeación$y$
Preparación

2.$Obtención$
de$información

5.$Prevención$
y$Educación

4.$Disciplina$y$

Acción$CorrecAva

Recomendación&ASISRPCI

3.Verificación$y$Análisis

1. Vigilancia$Física

6. Entrevistas$e$

Interrogatorios

Proceso,de,Inves&gación

2. Vigilancia$Electrónica

3. Recolección$de$
3. Recolección$de$

Inteligencia
Inteligencia

5. Operaciones$
5. Operaciones$
Encubiertas
Encubiertas

4. Análisis$de$Inteligencia$(i2)$
y$Análisis$Forense$(EnCase)

Fase,de,,obtención,de,información Inicio'

No'

Equipo'localizado'

Realizar'test'monitor/sleep'

Si'
¿Proceso''

destrucFvo'en'

curso?'

No'

¿Equipo'
en'RED?'

Si'

Protocolo,del,IACIS

¿Equipo'
prendido?'

No'

Si'

No'

¿Se'trata'de'
un'servidor?'

Si'

¿Transfer'

de'datos'o'proceso'

en'curso?'

Documentar''proceso'

o'transferencia'

Llamar''

al'

experto'

No'

Aislar'

Buscar'si'hay'
encripción'

Desconectar'el'cable'

Entrevistar'acerca''
de'la'encripción'

Si'

¿Encripción''
detectada?'

Toma'fotográfica.'

Documentar'conexiones.'
Documentar'acciones.'

No'

'

'
'
*

Primero'en'

responder'al'llamado'

(First'Responder)'

Flujograma'para'el'
aseguramiento'de'la'

evidencia'Qsica'y'digital'

Interna'onal*Associa'on*of*

Computer*Inves'ga've*
Specialists*(IACIS).*2011*

Fin'

Entrevista'conveniente'

Colectar'evidencia'asociada'
Colectar'fuente'de'poder'

Resguardar'
y'eFquetar'

Traducido)y)adaptado)por)C.)R.)

20

Vulnerabilidad

I

n

v

e

s

t
i

g

a

c

i

ó

n



Respuesta

Protocolo,del,IACIS

Vulnerabilidad
Prueba y verificación de la integridad de estaciones
de trabajo y red de servidores.
La integridad implica la seguridad física,
detección de intrusión a la red y respuesta
a incidentes.
Investigación
Integrar un equipo de investigación forense es lo
más apropiado: quien conduzca el análisis forense,
el abogado conocedor de sistemas y el criminólogo/
criminalista.
Respuesta
Revisar: Special Publication 800-61 Computer
Security Incident Handling Guide.
Revisar: Special Publication 800-86
Guide to Integrating Forensic Techniques into
Incidente Response
Material traducido al español con autorización de GSI

21

Protocolo,del,IACIS

COBIJO SOCIAL

Por intimidación o la

cooptación de

personas y comunidades
para inhibir la denuncia y
operar en la impunidad

Corrupción de
autoridades

Protección
Institucional

M

e

r

c

a

d

o



CRIMEN

ORGANIZADO

PIRÁMIDE DE LA

EVOLUCIÓN DELICTIVA

Logística

Creación de estructuras
operativas locales para
financiar actividades ilícitas

Control territorial para
administrar la delincuencia
local y vender protección a
ciudadanos

Primero, delitos de bajo

impacto (Ej. robo a

transeúntes), se escala a

robos en casa-

habitación, después

violencia y delitos de alto
impacto como secuestro
y fraudes financieros
computacionales con
bandas organizadas

trasnacionales.

22

NIST

CICLO DE VIDA DE RESPUESTA A INCIDENTES

PREPARACIÓN

DETECCIÓN

Y

ANÁLISIS

CONTENCIÓN
ERRADICACIÓN
RECUPERACIÓN

Y

ACCIONES
DESPUÉS

DEL

INCIDENTE

PROCESO FORENSE COMPUTACIONAL

RECOLECCIÓN

EXAMINACIÓN

ANÁLISIS

REPORTE

Medio

Datos

Información

Evidencia

Ver “Computer Security Incident
Handling Guide” Section 1 Special
Publication 800-61
Ver “Guide to Integrating Forensic
Techniques into Incident Response”
Section 2 Special Publication 800-86

RECOMENDACIONES DEL
National Institute of

Standards and Technology

Guidance Software, Inc

TRADUCIDAS AL ESPAÑOL

23

Tratamiento4de4Ilícitos

ORGANIZACIÓN,DELICTIVA:,MEXICANOS\COLOMBIANOS\VENEZOLANOS

CLONACIÓN,DE,TARJETAS,DE,CRÉDITO,,DÉBITO,Y,OBTENCIÓN,DE,NIPS

GRABACIÓN DE AUDIO REAL OBTENIDA POR AUTORIDADES

CONVERSACIÓN ENTRE