UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍAS E INGENIERÍAS ECBTI
Fases de la informática forense. Delitos informáticos tipificados en Colombia.
Elaborado por
: Jorge Andrés González Carmona 1105670990
Tutor del Curso
: ESP. ING FREDDY ENRIQUE ACOSTA
01 de mayo de 2017
[email protected]
DESARROLLO DEL CASO 1. PROBLEMA La Ferretería CASA MODERNA se ha caracterizado por ser una empresa innovadora en la venta de artículos para la construcción, mampostería y muebles en general, la empresa fue pionera en la ciudad de Pasto en prestar este tipo de servicios y se posicionó desde 2001 como la de mayor prestigio en la ciudad; la edificación donde funciona consta de 4 pisos los cuales tienen adecuada una red LAN, cada piso tiene su propia sub red con dominio 192.168.x.y donde (x) identifica al piso (y) e identifica el host en la red , la red se extiende a toda la edificación. La red presta servicios integrales internos con software propio y centralizado en el host 8 (PC microtorre G1 280 HP) del piso 2 además de proveer Internet a la organización.
El gerente en sus proyecciones de negocios ha observado que a pesar de la competencia el negocio es sostenible, pero, desde hace 8 meses a la fecha actual, el margen de ganancia ha venido disminuyendo encontrando en su mayor competidor la ferretería CONSTRUYENDO HOGAR, su mayor rival en ventas. El dueño no encuentra explicación en las siguientes acciones:
Los productos que manejaba de manera exclusiva en su almacén ya los está adquiriendo la competencia y los ofrece con semanas de anticipación antes de que le lleguen a la ferretería
Algunos de sus proveedores dejaron de comercializar con Casa Moderna, insinuando que la ferretería no tiene un inventario de productos nuevos
Los servicio s y productos que ofrece su rival tienen menor costo y adicionan sin valor algunos servicios o promociones y las promociones de Construyendo hogar han mejorado en relación a
Casa Moderna. Y el detalle más particular es que algunos ex empleados de Casa Moderna trabajan para la competencia.
El gerente de CASA MODERNA tiene a su cargo 30 empleados y ha contratado a 3 más hace 8 meses, uno en el área comercial (hace 8 meses), otro en R.R.H.H (recursos humanos, hace 6.5 meses) y otro en el área de mantenimiento (hace 4 meses) y cada uno de ellos maneja una host (PC micro torre G1 200 HP) conectado a la LAN y poseen internet en sus oficinas. El gerente sospecha que unos de estos nuevos funcionarios están filtrando información a la competencia pero no tiene indicios de cómo encontrar al sospechoso y como reunir las pruebas necesarias para inculpar a alguno de ellos.
2. LINEA DE TIEMPO Y DELIMITACION DE EVENTOS
https://www.preceden.com/timelines/308400-linea-de-tiempo-ferreter-a--casa-moderna-
Nota: Es necesario aclarar que personal que trabajo en la Ferretería CASA MODERNA ahora trabaja para la competencia por lo que se hace necesario realizar un análisis minucioso para determinar si la fuga de información es interna por parte de los ex empleados o una mezcla de ambos 3. CONTEXTUALIZAR DE MANERA SISTEMÁTICA LAS FASES 1 Y 2 DE LA INFORMÁTICA FORENSE Y UTILIZAR SOLO LAS ETAPAS DE CADA FASE QUE SE PUEDEN APLICAR EN EL CASO PRESENTADO Para abordar el problema de fuga de información por medios informáticos que tiene la Ferretería CASA MODERNA se realizarán una investigación aplicada dividida en cuatro fases , en cada una de estas se llevaran a cabo áreas que permitirán reunir pruebas para que llevaran a descartar o identificar al criminal tras estos hechos de robo de Trafico de información en la Ferretería CASA MODERNA . ES necesario aclarar que como investigadores debemos ser imparciales en la búsqueda de pruebas análisis y recolección de las mismas y entender los alcances del hacking ético y sus alcances en búsqueda de una solución. A continuación se describen las fase y cada etapa que se realizará: I.
Fase de identificación
Etapa 1 Levantamiento de información Descripción del Delito Informático: Fecha del incidente: 05 de Abril de 2017 Duración del incidente: 08 meses el 05 de agosto y 05 de abril 2017 Detalles del incidente: Desde hace 8 meses han bajado paulatinamente las ventas de La ferrería CASA MODERNA sus productos estrella os cuales solo se vendían por parte de esta ahora se encuentran en la competencia los hechos coinciden con el cambio y contratación de personal que se ha realizado por parte de la empresa. Información Sobre El Equipo Afectado Marca y modelo: PC microtorre G1 280 HP Función del equipo: Host de almacenamiento Tipo de información procesada por el equipo: servicios integrales internos con software propio y centralizado en el host 8
Etapa 2 Asegurar la Escena Identificación de Evidencias: asegurara clonar e instalar softwares especiales en PC micro torre G1 280 HP y equipos de personal de empleados contratados en los últimos 8 meses II.
Fase de Validación y preservación
Etapa 1 Copias de la evidencia: Se realizara un procedimiento de recolección evidencia en los discos original , se generaran dos copias de los mismos, etiquetados de la siguiente forma “Copia 1 Caso, CASA MODERNA ” y “Copia 2 Caso, CASA MODERNA” se realizaran procesos de comprobación de la integridad de cada copia con ayuda de las funciones hash tales como MD5 o SHA1. Se encriptara el disco con ayudada de la aplicación Truecrypt para evitar la intrusión remota. Etapa 2 Cadena de custodia: Se realizara levantamiento de acta registrando registro de los datos personales del operador de cada equipo y de los procesos de manipulación de las copias, desde el primer contacto con estos hasta su posterior almacenamiento. Este proceso se lleva a cabo con la finalidad de individualizar al responsable de la manipulación de la evidencia. III.
Fase de Análisis
Etapa 1 Preparación para el análisis: El trabajo principal se realizara sobre la copia realizada a la evidencia, para al motivo se montara la prueba en máquinas virtuales con el fin de obtener r una imagen del sistema de los equipos comprometidos, para posteriormente plantear hipótesis de cómo y cuándo y dónde se realizó la sustracción de información. Etapa 2 Reconstrucción del ataque: Tomando como punto de partida Si el intruso ha sido precavido es posible que algunas de sus huellas o en su totalidad no estén, de igual manera se partirá de la hipótesis que quien realizo la fuga de información no es un experto en técnicas anti forense para tal motivo se utilizara una marca en el tiempo MACD (fecha y hora de modificación, acceso, creación y borrado), recurriendo a los Registros de eventos el cual contiene guardadas las entradas por orden
cronológico. Esta información es de suma importancia para determinar que archivos fueron accedidos, que programas fueron instalados y que usuarios accedieron a estos. Con la finalidad de estar plenamente seguros en nuestra investigación consultaremos los registros y caches de oros programas con la finalidad de obtener huellas dejas por el intruso para esto consultaremos DNSDataView en los sistemas operativos Windows, Router IP Console, , caches adobe flash y java
Etapa 3 Determinación del ataque: Durante el proceso continuo llegaremos a esta etapa, para determinar como el delincuente informático realizo la extracción de la información, Durante esta etapa se lograra esclarecer como el atacantes pudo acceder al sistema: si desde un equipo externo o desde un equipo interno a través de la red, además se podrá establecer si accedió directamente en el servidor .se podrá establecer y determinar los problemas de vulnerabilidad o el fallos de seguridad existentes, para posteriormente tomar las medidas de seguridad pertinentes o que den a lugar para que estos suceso no se vuelva a presentar. Etapa 4 Identificación del atacante: En la búsqueda de la información buscaremos identificar si trabajadores o Ex trabajadores con uso de usuario y contraseña han ingresado al sistema o si para esto crearon una puerta trasera, identificando así la ip del equipo utilizado para la extracción. Etapa 5 Perfil del atacante: Se realizara el respectivo perfil del atacante con la ayuda de la línea de tiempo y las pruebas encontradas en los discos, IV. Fase de Documentación y Presentación de las pruebas
V.
Clasificar de manera concreta el tipo de delito cometido según la ley 1273 de 2009,
Delito Cometido
VIOLACIÓN DE DATOS PERSONALES CON AUMENTO DE LA PENA EN 3 TERCERAS PARTES La información es el activo más valioso que existe en una empresa pues en esta están los lineamientos modelos y políticas que sigue la empresa , de esta depende el éxito o fracaso que se de en la misma es por esto que la ley 1273 de 2009 en el artículo 469F VIOLACIÓN DE DATOS PERSONALES proeje a estas contra los que accediendo de forma violenta, por abuso de confianza, a información no autorizada, con la finalidad de extraerla para su uso personal o el de terceros, “ incurrirá en este delito aumentando su pena en tres terceras parte por Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este” sita recuperada de :http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticosen-colombia
Aumeto de la pena 3 terceras partes
Quien provechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este
Revelando o dando a conocer el contenido de la información en perjuicio de otro
Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información
procesada con equipos computacionales. Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. http://www.mintic.gov.co/
Se álica este artículo Tomando en cuenta que la información fue sustraída sin autorización y además de esto utilizada para mejorar las ventas de la competencia, convirtiendo el echo en un delito CONCLUSIONES