03-04-2016 Imagen Forense

Glosario Tecnologías de Información

Adquisición: procedimiento que permite el copiado exacto por sectores de un dispositivo de almacenamiento, también conocido como “copia espejo”.

Algoritmo Hash: función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato a través de la probabilidad, utilizando una función hash o algoritmo hash. Un hash es el resultado de dicha función o algoritmo.

Análisis: Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.

Análisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos de información relacionada al archivo (metadatos, etc.), consistente entre otras cosas en la firma del archivo o hash (indica la integridad del archivo).

Análisis de Sistemas: Metodología aplicable al estudio de la información y sus relaciones.

Celda (en telefonía): es una unidad básica de cobertura en que se divide un sistema celular. Se puede definir como el área que cubre un transmisor o una colección de transmisores.

Código FCC ID: Federal Communications Comission Identifier, o Identificador aprobado por la Comisión Federal de Comunicaciones de Estados Unidos (cuando es el país fabricante), es el numero único de aprobación para cada fabricante de dispositivos móviles.

Código IMEI: (del inglés International Mobile System Equipment Identity, Sistema Internacional para la Identidad de Equipos Móviles) número único de 15 o 17 cifras que permite identificar de forma unívoca cualquier terminal móvil asociado a una red GSM o UMTS.

Código MEID y ESN: identificador de equipo móvil o Mobile Equipment Identifier, que permite identificar un dispositivo móvil dentro de una red CDMA. Es sustituto del número de serial electrónico o ESN (Electronic Serial Number).

Código malicioso: (del inglés “malicious software”), también llamado badware, (código maligno, software malicioso o software malintencionado), es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario.

Contraseña (Password): Secuencia alfabética, numérica o combinación de ambas, protegida por reglas de confidencialidad utilizada para verificar la autenticidad de la autorización expedida a un usuario para acceder a la data o a la información contenidas en un sistema.

Computador: Equipo o unidad funcional que acepta data, la procesa de acuerdo con un programa guardado y genera resultados, incluidas operaciones aritméticas o lógicas.

Computación: Tecnología relacionada con el uso de computadoras para el procesamiento de información.

Data: Hechos, conceptos, instrucciones o caracteres representados de una manera apropiada para que sean comunicados, transmitidos o procesados por seres humanos o por medios automáticos y a los cuales se les asigna o se les puede asignar significado.

Datos: son números, letras o símbolos que describen objetos, condiciones o situaciones. Son el conjunto básico de hechos referentes a una persona, cosa o transacción de interés para distintos objetivos, entre los cuales se encuentra la toma de decisiones. Desde el punto de vista informático, los datos se representan como pulsaciones o pulsos electrónicos a través de la combinación de circuitos (denominados señal digital).

Delitos informáticos: Son delitos que haciendo uso de las tecnologías de información como medio de comisión, provocan daño sobre la información.

Diagramación: es una notación gráfica para representar información de un determinado proceso. Mediante la creación de diagramas, se logra describir conceptos más rápidamente y comunicar información con mayor eficacia, lo que incluye el diseño, documentación y análisis de procesos que facilitan la interpretación de los mismos.

Dirección IP: etiqueta numérica que identifica, de manera lógica y jerárquica, a una interfaz (elemento de comunicación/conexión) de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red del modelo OSI (en inglés, Open System Interconnection, modelo de referencia para los protocolos de red de arquitectura en capas).

Dispositivos o Unidades de Almacenamiento: Son dispositivos que leen o escriben datos en medios o soportes de almacenamiento, y juntos conforman la memoria secundaria o almacenamiento secundario de la computadora. Estos dispositivos realizan las operaciones de lectura y/o escritura de los medios o soportes donde se almacenan o guardan, lógica y físicamente, los archivos de un sistema informático. De acuerdo a la tecnología empleada para el almacenamiento pueden ser:

Dispositivos o Unidades de Almacenamiento Electrónicos: Este tipo de dispositivos de almacenamiento es el más reciente y el que más perspectivas de evolución de desempeño en la tarea de almacenamiento de información tiene. Esta tecnología también es conocida como memorias de estado sólido o SSDs (solid state drive) porque no tienen partes móviles, sólo circuitos electrónicos que no necesitan moverse para leer o grabar información.

Dispositivos o Unidades de Almacenamiento Electromagnéticos: La lectura y grabación de la información en un dispositivo de almacenamiento por medio magnético se da por la manipulación de partículas magnéticas presentes en la superficie del medio magnético. Para la grabación, el cabezal de lectura y grabación del dispositivo genera un campo magnético que magnetiza las partículas magnéticas, representando así dígitos binarios (bits) de acuerdo a la polaridad utilizada. Para la lectura, el cabezal de lectura y grabación genera un campo magnético, que cuando entra en contacto con las partículas magnéticas del medio verifica si esta atrae o repele al campo magnético, sabiendo así si el polo encontrado en la molécula es positivo o negativo. Como ejemplo de dispositivos de almacenamiento por medio magnético, podemos citar los Discos Rígidos (también conocidos con HDs, hard disks o discos duros), los Disquetes (ya en desuso, también conocidos como discos flexibles o floppy disks), los Tape Backups, las cintas DAT, entre otros.

Dispositivos de Comunicación: Son los que envían y reciben archivos de una computadora a otra. Entre los más comunes y para equipos de computación personal tenemos el módem y las tarjetas de red por cables e inalámbricas; para comunicaciones entre redes y grandes empresas tenemos los Concentradores (Hubs), Switches, Routers y Proxies.

Dispositivos Automatizados de Almacenamiento: Mejor conocidos como “Sistemas Automatizados de Almacenamiento” o “Robots”, son aquellos que reducen o eliminan la cantidad de intervención humana.

Dispositivos de Comunicación: Son los que envían y reciben archivos de una computadora a otra. Entre los más comunes y para equipos de computación personal tenemos el módem y las tarjetas de red por cables e inalámbricas; para comunicaciones entre redes y grandes empresas tenemos los Concentradores (Hubs), Switches, Routers y Proxies.

Discos Ópticos: formato de almacenamiento de información digital, que consiste en un disco circular en el cual la información se codifica, se guarda y almacena, haciendo unos surcos microscópicos con un láser sobre una de las caras planas que lo componen.

Discos Magneto-Ópticos: Permiten el proceso de lectura y escritura de dichos discos con tecnología híbrida de los disquetes y los discos ópticos, aunque en entornos domésticos fueron menos usadas que las disqueteras y las unidades de CD-ROM, pero tienen algunas ventajas en cuanto a los disquetes.

Documento: Registro incorporado en un sistema en forma de escrito, video, audio o cualquier otro medio, que contiene data o información acerca de un hecho o acto capaces de causar efectos jurídicos.

Extracción de contenido: procedimiento que permite, mediante la utilización de un programa forense, obtener información de manera íntegra que se encuentre presente en un dispositivo de almacenamiento.

Extracción Lógica: tipo de extracción de datos del sistema operativo de un dispositivo a través de una serie de comandos, mediante herramientas que se comunican con el sistema operativo del dispositivo y solicitan la información desde el sistema, lo que permite la adquisición de la mayoría de los datos en tiempo real.

Extracción Física: tipo de extracción de datos que involucra el copiado bit por bit de la memoria Flash completa de un dispositivo móvil. Este método de extracción no sólo permite la adquisición de los datos intactos, sino también de los datos ocultos y eliminados.

Firmware: Programa o segmento de programa incorporado de manera permanente en algún componente de hardware.

Fotograma: instante o momento captado de una película o video durante su reproducción; es un equivalente a cuadro de un film. Usualmente se utilizan programas de reproducción de video que permiten ejecutar estas capturas a varios cuadros por segundo.

Hardware: Equipos o dispositivos físicos considerados en forma independiente de su capacidad o función, que forman un computador o sus componentes periféricos, de manera que pueden incluir herramientas, implementos, instrumentos, conexiones, ensamblajes, componentes y partes.

Hardware libre: Dispositivos tangibles, componentes electrónicos o mecánicos diseñados para su uso en cualquier área científico técnica, cuyas especificaciones y diagramas esquemáticos son de acceso público, garantizando el total acceso al conocimiento de su funcionamiento y fabricación, y que reconociendo los derechos de autor, no están sometidos a normativas legales del sistema de patentes de apropiación privativa, otorgándose las mismas libertades contempladas en el software libre para su uso con cualquier propósito y en cualquier área de aplicación, libertad de modificación y adaptación a necesidades específicas, y la libertad para su redistribución.

HUB: Es un equipo de redes que permite conectar entre sí otros equipos y retransmite los paquetes que recibe desde cualquiera de ellos a todos los demás. Los Hubs han dejado de ser utilizados, debido al gran nivel de colisiones y tráfico de red que propician.

Identificación: Es muy importante conocer los antecedentes a la investigación “HotFix”, situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategias (debes estar bien programado y sincronizado con las actividades a realizar, herramientas de extracción de los registros de información a localizar). Incluye muchas veces la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados.

Informática: Ciencia que estudia a la información, cualquiera fuere su soporte físico.

Información: Significado que el ser humano le asigna a la data, utilizando las convenciones conocidas y generalmente aceptadas.

Imagen: Una imagen (del latín imago) es una representación visual, que manifiesta la apariencia visual de un objeto real o imaginario. Aplica también a la representación fiel y exacta del resultado de un proceso de adquisición forense de datos aplicado a un medio de almacenamiento.

Imagen Forense: Técnica llamada también “Espejo” (en inglés “Mirroring”), la cual es una copia binaria de un medio electrónico de almacenamiento. En la imagen quedan grabados los espacios que ocupan los archivos y las áreas borradas incluyendo particiones escondidas.

Levantamiento de Información en Vivo: Se denomina al procedimiento de analizar el equipo que se constituye como evidencia de interés criminalístico, mediante la utilización de un LiveCD o LiveDVD, lo cual se refiere a un sistema operativo (normalmente acompañado de un conjunto de aplicaciones) almacenado en un medio extraíble, tradicionalmente un CD o un DVD (de ahí sus nombres), que puede ejecutarse desde éste sin necesidad de instalarlo en el disco duro de una computadora, para lo cual usa la memoria RAM como disco duro virtual y el propio medio como sistema de archivos.

Mensaje de Datos: Cualquier pensamiento, idea, imagen, audio, data o información, expresados en un lenguaje conocido que puede ser explícito o secreto (encriptado), preparados dentro de un formato adecuado para ser transmitido por un sistema de comunicaciones.

Perfiles de usuario: Colección de opciones de configuración que hacen que un equipo tenga aspecto y funcione de la manera que se desee. Contiene la configuración para fondos de escritorio, protectores de pantalla, preferencias de puntero, configuración de sonido y otras características. Los perfiles de usuario permiten que se usen preferencias personales siempre que se inicie sesión en un sistema operativo.

Preservación: Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el análisis. Dicha duplicación se realiza utilizando tecnología de punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere (soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit-a-bit” (copia binaria) de todo el disco duro, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.

Presentación: Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la documentación ya que siempre existirán puertas traseras dentro del sistema en observación, y debe ser muy específica la investigación dentro del sistema que se documenta porque se compara y vincula una plataforma de telecomunicación y computo forense, y que están muy estrechamente enlazadas no omitiendo los medios de almacenamiento magnéticos portables, estos son basamentos sobre software libre y privativo. Deberá ser muy cuidadosa la información a entregar porque se maneja el prestigio técnico según la plataformas y sistemas.

Prueba Informático Forense: Es la resultante del empleo de técnicas informáticas y criminalísticas, para detectar, proteger, documentar, preservar, analizar y evaluar los indicios probatorios que obran en un sistema de información (generalmente computacional) que sean de utilidad a la investigación reconstructiva de los hechos delictivos o no.

Procesamiento de Data o de Información: Realización sistemática de operaciones sobre data o sobre información, tales como manejo, fusión, organización o cómputo.

Programa: Plan, rutina o secuencia de instrucciones utilizados para realizar un trabajo en particular o resolver un problema dado a través de un computador.

Protocolo de Comunicación: Es un sistema de reglas que permiten que dos o más entidades de un sistema de comunicación se comuniquen entre ellas para transmitir información por medio de cualquier tipo de variación de una magnitud física. Se trata de las reglas o el estándar que define la sintaxis, semántica y sincronización de la comunicación, así como también los posibles métodos de recuperación de errores. Los protocolos pueden ser implementados por hardware, por software, o por una combinación de ambos.

Proxy: Programa o dispositivo que realiza una acción en representación de otro. Su finalidad más habitual es la de servidor Proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.

Red GSM: Sistema global para las comunicaciones móviles (del inglés Global System for Mobile Communications, GSM, y originariamente del francés groupe spécial mobile) es un sistema estándar de telefonía móvil digital.

Red LTE 4G: Long Term Evolution (LTE, Evolución a Largo Plazo) es un estándar de la norma 3GPP definida como una evolución de la norma 3GPP UMTS (3G), y también como un nuevo concepto de arquitectura evolutiva (4G) en transmisión de datos a altas velocidades.

Registro: Un registro representa un objeto único de datos implícitamente estructurados en una tabla. Es un conjunto de campos que contienen los datos que pertenecen a una misma repetición de entidad.

Router Direccionador, Ruteador o Encaminador: Es un dispositivo de hardware para interconexión de red de ordenadores que opera en la capa tres (nivel de red).Un router es un dispositivo para la interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos.

Seguridad: Condición que resulta del establecimiento y mantenimiento de medidas de protección que garanticen un estado de inviolabilidad de influencias o de actos hostiles específicos que puedan propiciar el acceso a la data de personas no autorizadas o que afecten la operatividad de las funciones de un sistema de computación.

Seguridad de la Información: Condición que resulta del establecimiento y mantenimiento de medios de protección, que garanticen un estado de inviolabilidad de influencias o de actos hostiles específicos que puedan propiciar el acceso a la información no autorizada, o que afecten la operatividad de las funciones de un sistema de computación, bajo los principios de confidencialidad, integridad, privacidad y disponibilidad de la información.

Servidor: Es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes.

Síntesis: Exposición breve, escrita u oral, que a modo de resumen contiene un conjunto de ideas fundamentales y relacionadas con un asunto o materia que se encontraban dispersas.

Sistema: Cualquier arreglo organizado de recursos y procedimientos diseñados para el uso de tecnologías de información, unidos y regulados por interacción o interdependencia para cumplir una serie de funciones específicas, así como la combinación de dos o más componentes interrelacionados, organizados en un paquete funcional, de manera que estén en capacidad de realizar una función operacional o satisfacer un requerimiento dentro de unas especificaciones previstas.

Software: Información organizada en forma de programas de computación, procedimientos y documentación asociados, concebidos para realizar la operación de un sistema, de manera que pueda proveer de instrucciones a los computadores, así como de data expresada en cualquier forma, con el objeto de que éstos realicen funciones específicas.

Software Libre: Programa de computación en cuya licencia el autor o desarrollador garantiza al usuario el acceso al código fuente y lo autoriza a usar el programa con cualquier propósito, copiarlo, modificarlo y redistribuirlo con o sin modificaciones, preservando en todo caso el derecho moral al reconocimiento de autoría.

Soporte: Medio que respalda una información, bien sea de manera digital o física, según sea la utilidad.

Switch o “Conmutador”: Es un dispositivo digital de lógica de interconexión de redes de computadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su función es interconectar dos o más segmentos de red, de manera similar a los puentes (bridges), pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red.

Tarjeta Inteligente: Rótulo, cédula o carnet que se utiliza como instrumento de identificación, de acceso a un sistema, de pago o de crédito y que contiene data, información o ambas, de uso restringido sobre el usuario autorizado para portarla.

Tecnología de Información: Tecnologías destinadas a la aplicación, análisis, estudio y procesamiento en forma automática de información. Esto incluye procesos de: obtención, creación, cómputo, almacenamiento, modificación, manejo, movimiento, transmisión, recepción, distribución, intercambio, visualización, control y administración, en formato electrónico, magnético, óptico, o cualquier otro medio similar o equivalente que se desarrollen en el futuro, que involucren el uso de dispositivos físicos y lógicos. La infraestructura informática a analizar puede ser toda aquella que tenga una memoria, por lo que se incluyen en tal pericia los siguientes dispositivos: Disco duro de una computadora o Servidor, Documentación referida del caso, Sistemas de Telecomunicaciones, MAC address, Logs de seguridad, Información de Firewalls (cortafuegos o muros de fuego), IP, redes Proxy, host, Crossover, pasarelas, Programas de monitoreo y seguridad, Credenciales de autentificación, Trazo de paquetes de red, Teléfono Móvil o Celular, Agendas Electrónicas (PDA), Dispositivos de GPS, Impresora, Memorias USB, micro SD, SD, MMC, entre otras.

Troyano: Denominado también Caballo de Troya; es un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.

Usuario: En tecnologías de información, es un individuo que utiliza una computadora, sistema operativo, servicio o cualquier sistema; además se utiliza para clasificar a diferentes privilegios, permisos a los que tiene acceso un usuario o grupo de usuario, para interactuar o ejecutar con el ordenador o con los programas instalados en este.

URL: localizador de recursos uniforme (conocido por la sigla URL, del inglés Uniform Resource Locator) es un identificador de recursos uniforme (Uniform Resource Identifier, URI) esto es, la dirección o recurso hacia el cual apunta una secuencia de caracteres, de acuerdo a un formato modélico y estándar, que designa recursos en una red, como Internet.

Virus: Programa o segmento de programa indeseado que se desarrolla incontroladamente y que genera efectos destructivos o perturbadores en un programa o componente del sistema.

Volcado de Memoria: Es un registro no estructurado del contenido de la memoria en un momento concreto, generalmente utilizado para depurar un programa que ha finalizado su ejecución incorrectamente. Actualmente se refiere a un archivo que contiene una imagen en memoria de un proceso determinado, pero originalmente consistía en un listado impreso de todo el contenido de la memoria.

Fuente de la información. Fuente de la imagen.