Conceptos básicos

  • Miguel Colobran Huguet

    Miguel Colobran Huguet

    Licenciado en Informática por la Universidad Autónoma de Barcelona. Elaboró su trabajo de investigación en el Departamento de Ingeniería de la Información y de las Comunicaciones (DEIC) de la misma Universidad. Ha trabajado como profesor ayudante y asociado en el DEIC, y ha ejercido de consultor de varias asignaturas de la Universitat Oberta de Catalunya. Actualmente, trabaja como analista en informática forense.

PID_00146618
Ninguna parte de esta publicación, incluido el diseño general y la cubierta, puede ser copiada, reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste eléctrico, químico, mecánico, óptico, grabación, fotocopia, o cualquier otro, sin la previa autorización escrita de los titulares del copyright.

Introducción

La informática se ha convertido en el eje vertebrador de todas las organizaciones. La información que circula por sus redes y servidores es vital para su funcionamiento y, en consecuencia, se ha convertido en el nuevo objetivo de los criminales del siglo XXI. La información es un valor en sí mismo y, por lo tanto, un objeto codiciado por los nuevos delincuentes y una vía para provocar cuantiosos daños a la organización. Asimismo, su destrucción puede comportar importantes pérdidas económicas a sus propietarios, e incluso comprometer la continuidad de la empresa.
Cualquier organización que se plantee la implantación de alguna medida de seguridad en sus sistemas de información (ya sea de carácter tecnológico u organizativo), deberá pretender alcanzar los siguientes objetivos: evitar los incidentes de seguridad y reducir las consecuencias de los que no se puedan evitar.
Lo adecuado, por lo tanto, es que las organizaciones se planteen cómo actuar ante un incidente de seguridad. La gestión de incidentes permite a las organizaciones estructurar un protocolo de actuación ante una incidencia para minimizar su impacto y el tiempo de resolución.
A pesar de ello, conviene ser consciente de que, por más recursos que se destinen a mejorar la seguridad, nunca se podrá alcanzar en su máxima expresión, puesto que siempre se estará expuesto a sufrir algún tipo de incidente que provocará algún impacto en la organización (en mayor o menor medida).
Cuando ocurre un incidente, se deberá determinar qué ha sucedido. El conjunto de técnicas, conocido de forma genérica como informática forense, además de esclarecer los hechos, nos permitirá reunir pruebas de forma ordenada y metódica. Éstas, probablemente, deban tener valor probatorio para poder ser posteriormente usadas en el ámbito procesal (ante un juez).
Uno de los grandes problemas que aparecen al tratar con información digital probatoria es la tendencia a pensar que las pruebas informáticas son fácilmente creadas, modificadas o destruidas, y que por ello difícilmente podrán ser utilizadas en un proceso judicial. Sin embargo, debe considerarse que, al fin y al cabo, estas pruebas (denominadas evidencias digitales en la terminología forense) son igualmente "reales", ya que se encuentran almacenadas en soportes físicos.
Ejemplos de soportes físicos de almacenaje
Discos duros, pendrives, DVD, blu-ray, etc.

Objetivos

Competencias
Con los materiales de este módulo didáctico, se pretende que aprendáis y desarrolléis los siguientes conocimientos y habilidades:

  1. Comprender las ciencias forenses y cómo la informática forense se desarrolla a partir de ellas.

  2. Saber dónde y cuándo se usa la iformática forense en una organización.

  3. Conocer cuál es el rol del experto forense.

  4. Conocer cuál es la metodología básica de trabajo del experto forense.

1.Disciplina forense

1.1.Ciencia forense

Conocemos por ciencia forense aquella que tiene por objeto la aplicación de prácticas científicas dentro del proceso legal.
La ciencia forense es habitualmente referida sólo con el término forense, el cual, aceptado a escala mundial, se usa a menudo como sinónimo de legal. La ciencia forense abarca tanto la rama civil como la penal del derecho.
La ciencia forense se ha expandido tanto, que actualmente existen muchísimas ramas de las ciencias que le dan soporte en la resolución de los problemas que plantea el derecho. Algunas de ellas, a título orientativo, son las siguientes:

  • Contabilidad forense. Adquisición, interpretación y estudio de la contabilidad.

  • Informática forense. Recuperación, reconstrucción e interpretación de los medios digitales que están almacenados en un ordenador, para su utilización como prueba.

  • Economía forense. Adquisición, estudio e interpretación de las pruebas relacionadas con el daño económico. Incluye la determinación de la pérdida de beneficios y ganancias, el valor del negocio y la pérdida de beneficios, etc.

  • Ingeniería forense. Reconstrucción, estudio e interpretación de un fallo mecánico o estructural (de edificios, puentes, etc.).

  • Lingüística forense. Estudio e interpretación de la lengua para su utilización como prueba jurídica.

  • Psicología y psiquiatría forense. Estudio, evaluación e identificación de enfermedades relacionadas con el comportamiento humano y su mente, para la obtención de pruebas jurídicas.

  • Odontología forense. Estudio de los dientes, específicamente la unicidad de la dentición.

  • Patología forense. Combina las disciplinas de la medicina y la patología para determinar las causas de las lesiones o muerte.

  • Toxicología forense. Estudio, evaluación e identificación de los efectos de los venenos, productos químicos o las drogas en el cuerpo humano.

Definición de ciencias forenses
Se denominan ciencias forenses a todas aquellas ciencias o especialidades científicas cuyos principios, métodos y técnicas se aplican a la justicia, en cualquiera de sus aspectos, buscando el bien de la sociedad y la seguridad pública. Las ciencias forenses abarcan especialidades científicas tales como la antropología forense, criminalística, informática forense, ingeniería forense, medicina legal, psiquiatría y psicología forense, toxicología forense, etc.
Es decir, cualquier disciplina cuyos principios científicos sean utilizados para ayudar a la justicia.

1.2.Informática forense

Es una ciencia forense que se ocupa del uso de los métodos científicos aplicables a los sistemas informáticos.
Definición de informática forense
La informática forense es la ciencia forense que se encarga de asegurar, identificar, preservar, analizar y presentar la evidencia digital, de manera que ésta sea aceptada en un proceso judicial.
Sin embargo, la informática forense también se ha revelado como un área de la informática con muchas más utilidades, por lo que la definición anterior sólo se aplica a parte de su uso. Así pues, también podríamos considerar la informática forense bajo la siguiente definición:
La informática forense investiga los sistemas de información con el fin de detectar evidencias de vulnerabilidad en los mismos.
Esta definición subraya que se aplican las técnicas, procedimientos y herramientas hardware y software necesarias para determinar datos y hechos relevantes. Dichas técnicas pueden llevarse a cabo antes o después de que se produzca un suceso y con finalidades judiciales o no.
Bajo esta óptica, la informática forense aparece con distintas finalidades y objetivos:
 
Objetivos
Preventivo
Correctivo
Finalidad
Probatoria
---
Ha ocurrido un incidente y se deben reunir pruebas para un proceso judicial.
Auditora / monitorización
Verificación de que el sistema informático está funcionando correctamente usando técnicas forenses.
Ha ocurrido un incidente y deben conocerse los hechos para modificar las políticas de seguridad.

  • Objetivos preventivos. Se pretende anticiparse al problema. En este escenario, la informática forense forma parte del sistema de seguridad. Se utiliza para verificar y para auditar. Mediante la práctica de distintas técnicas, se verifica que los sistemas de seguridad instalados cumplen con ciertas condiciones básicas de seguridad. Los resultados de las auditorías servirán para poder corregir los errores encontrados y mejorar el sistema.

  • Objetivos correctivos. Este escenario supone la detección de un incidente. Debe conocerse la causa para poder aplicar las medidas correctivas que permitan evitar nuevos incidentes por esa misma vía.

  • Finalidad probatoria. En especial, si el incidente ha ocasionado daños, estamos ante un escenario que deberá manejarse con extrema cautela. La obtención de pruebas es de suma importancia. La informática forense permite realizar un rastreo de la intrusión, descubrir el daño realizado y recopilar las evidencias digitales. En este contexto, hablamos de recuperación de información e incluso de descubrimiento de información. Podemos llegar a conocer el origen del ataque y los cambios realizados en el sistema (fugas de información, pérdida o manipulación de datos). Posteriormente, las evidencias halladas podrán ser utilizadas en el marco legal.

  • Finalidad auditora. Periódicamente debe comprobarse, a todos los niveles, la robustez del sistema informático. Las técnicas forenses se han revelado como extremadamente útiles en estos escenarios.

2.Marco conceptual

2.1.Breve reseña histórica

La informática forense empezó hace unos veinticinco años en Estados Unidos, cuando el Gobierno y el FBI notaron que los criminales empezaban a usar la tecnología como medio para cometer delitos. En 1984, el FBI inició el denominado "Programa de medios magnéticos", que fue el origen del CART (Computer Analyisis and Response Team), un equipo de análisis por ordenador. En 1988, Michael Anderson, un agente del IRS (Internal Revenue Service), creó, junto con un grupo de especialistas y tres compañías, un grupo especializado en la recuperación de datos. Posteriormente, se convertirían en Symantec.
En una de estas reuniones, en 1988, se crearon las clases de especialistas de recuperación de evidencia computacional, y en 1989, el Centro de Entrenamiento Federal para el Cumplimiento de la Ley (FLETC). También se creó la Asociación Internacional de Especialistas en la Investigación Computacional (IACIS).
El CART, que empezó a operar en 1991, fue la respuesta al incremento del número de casos en que estaba involucrada la evidencia digital. Proporcionaba exámenes de los ordenadores y discos (realizados en los laboratorios del FBI) como apoyo a investigaciones y juicios.
Entre 1993 y 1995 se formó la IOCE, Organización Internacional en Evidencia Computacional, cuyo propósito es proveer un foro internacional para el intercambio de la información relacionada con la investigación computacional y la informática forense.
En 1999, el CART trabajaba en más de 2.000 casos anuales, examinando del orden de 17 terabytes de datos. Tres años más tarde, en el 2003, el CART trabajaba en 6.500 casos y estaba examinando 782 terabytes de datos.

2.2.Ámbito de actuación

El ámbito más conocido es el judicial; sin embargo, los analistas no siempre aportan evidencias en procesos judiciales:

  • Persecución criminal. Evidencia incriminatoria que puede ser usada para procesar delitos y crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil.

  • Litigación civil. Casos relativos a fraude, discriminación, acoso, divorcio, etc. Estudios jurídicos que necesitan recabar información, ya sea para presentarla frente a un tribunal, o bien para negociar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc.

  • Investigación de seguros. La evidencia encontrada en ordenadores puede ayudar a las compañías de seguros a disminuir costes de reclamaciones por accidentes o compensaciones.

  • Temas corporativos. Se puede recoger información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o espionaje industrial. Empresas que realizan juicios laborales con sus empleados o con sus asociados por conflictos de intereses.

  • Finalidad preventiva. Como medida preventiva sirve a las empresas para auditar, mediante la práctica de pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes. Permite detectar las vulnerabilidades de seguridad con el fin de corregirlas.

  • Data recovery. Situación en la que es necesario recuperar información que ha sido eliminada por error, durante una subida de tensión, o una caída de servidores. En este escenario, habitualmente se conoce la información que se está buscando.

  • Network forensics. Obtener información sobre cómo un atacante ha accedido al sistema informático y las acciones que ha podido llevar a cabo en él.

Cuando la investigación forense deba presentarse ante un juzgado deberán tomarse medidas especiales. Una de las más importantes es asegurar que la evidencia ha sido correctamente recogida y documentar la cadena de custodia, desde la escena del delito hasta el juzgado para garantizar de esta manera la integridad de la evidencia digital1.
La informática forense se convierte en imprescindible desde el momento en que gran parte de la información generada se halla almacenada en soportes digitales.

2.3.Principios de la informática forense

Debido a que la informática forense es una disciplina de la ciencia forense, comparte muchos de los principios claves a la hora de examinar y manipular la información. Estos principios (1) son:

  • Evitar la contaminación. No se realizará ninguna acción que modifique los datos contenidos en un ordenador o dispositivo de almacenamiento. Para poder obtener un análisis veraz y certero, la información debe estar lo mas estéril posible.

    Con la evidencia electrónica (imágenes de discos y memoria, ficheros de datos y ejecutables, etc.), la práctica consiste en obtener hashes de la información en el momento de su recolección, de forma que se pueda comprobar en cualquier momento si la evidencia ha sido modificada.

    Los algoritmos de hashing aceptados como estándares son el MD5 y el SHA-1. A pesar de que se han descubierto vulnerabilidades en ambos, siguen utilizándose, ya que la posibilidad de obtener una colisión es infinitesimal.

  • Actuar metódicamente. El investigador debe ser responsable de sus procedimientos y del desarrollo de la investigación; por lo tanto, es importante que se documenten claramente los procesos, herramientas y análisis durante todo el proceso.

  • Tener control sobre la evidencia. Debe mantenerse en custodia cualquier evidencia relacionada con el caso, documentando asimismo cualquier evento que pueda afectarla: quién entregó la evidencia, cómo se transportó, quién tuvo acceso a la evidencia, etc. De ese modo, un tercer analista independiente debería ser capaz de examinar esos registros y alcanzar el mismo resultado.

  • En circunstancias excepcionales. En caso de que se deba acceder a los datos originales contenidos en un ordenador o dispositivo de almacenamiento, la persona debe ser competente en dicha práctica, explicando la relevancia y las implicaciones de sus acciones.

3.La informática forense en las organizaciones

La informática forense tiene una relevancia considerable dentro de las organizaciones y juega un papel clave en su seguridad. Para ello, veamos cómo se ha especializado e integrado en dichas entidades.

3.1.La informática forense y la organización

Bajo el punto de vista de la organización, la informática forense debe integrarse dentro de la seguridad global del sistema informático. Éste, a su vez, depende del buen diseño de las medidas de prevención, detección, contención y recuperación.
Esquema básico de la gestión de incidentes
Esquema básico de la gestión de incidentes

  • Medidas de prevención. Estas medidas integran todos los aspectos relativos a evitar que se produzca un incidente o suceso. La informática forense se integra en esta etapa por medio de las auditorias y sus correspondientes técnicas, como por ejemplo, los denominados penetration tests, y el black box o el white box, para evaluar el estado del sistema (2) .

  • Medidas de detección. Dado que es inevitable que el incidente suceda tarde o temprano, las medidas de detección sirven para detectar violaciones de la seguridad del sistema. La informática forense se integra perfectamente en herramientas tales como los analizadores de tráfico, honeypots y honeynets, o los IDS (3) .

  • Medidas de contención. Una vez detectado e identificado el incidente, hay que procurar por todos los medios restringir su expansión. Para ello, se deben tomar medidas protocolizadas. Las técnicas de network forensic ayudan a identificar el origen del incidente, y por lo tanto a contener y eliminar el problema.

  • Medidas de recuperación. Finalmente, deben determinarse el origen del ataque y los daños ocasionados (entre otros) y emprender acciones legales si procede. Este es el campo de trabajo de la informática forense (en concreto del análisis forense (4) ). Asimismo, también es de vital importancia la recuperación del estado normal del sistema informático (5) .

4.Informática

El experto forense, con su experiencia, colabora en la reconstrucción de los hechos y el descubrimiento de pistas. Aplicando un método científico, analiza las evidencias disponibles y crea hipótesis sobre lo ocurrido. Para desarrollar la evidencia, realiza pruebas y controles para confirmar o contradecir las hipótesis.
Un principio fundamental en ciencia forense, que usaremos continuamente para relacionar a los autores con los hechos cometidos, es el principio de intercambio o transferencia de Locard.

4.1.Principio de intercambio de Locard

Edmund Locard (1877-1966) elevó a la categoría de imprescindibles una serie de evidencias forenses que antes se consideraban inútiles o incluso se ignoraban. El principio de intercambio de Locard se puede resumir en la frase "cada contacto deja un rastro", que significa que en la mayoría de las acciones cotidianas existe un intercambio.
Por ejemplo, la rotura de un cristal por un puñetazo deja restos de sangre en el escenario y fragmentos de vidrio en la persona. De la misma forma, una pisada dejará una huella sobre el terreno y rastros de tierra en la suela. El principio de Locard nos asegura que, en la gran mayoría de situaciones, existe un intercambio. Sólo hay que tener la mente despierta y buscarlo.
4.1.1.Informática forense y el principio de Locard
En el mundo digital, el principio se aplica porque cualquier interacción con un ordenador afecta a su operativa, el estado de la memoria, e incluso lo que se escribe en el disco duro. De forma que un experto puede encontrar trazas de la interacción, e inclusive detalles que permiten reconstruir los hechos e identificar a los autores. Si bien es cierto que las evidencias informáticas pueden ser frágiles, ello no es causa para que no existan, y por lo tanto, para que no se puedan obtener pruebas definitivas, verificables e irrefutables.
Evidencias informáticas frágiles
Existen otras pruebas muy volátiles. Por ejemplo, la huella dactilar en una hoja de papel sólo se conserva durante tres horas. La disciplina especializada en el reconocimiento de la forma gráfica de la huella es conocida como dactiloscopia. Después de detectarse y recogerse la huella del lugar (el papel), debe ser tratada dactiloscópicamente (necrodactilía) por el perito forense para que tenga valor probatorio.
El principio de intercambio tiene plena aplicación en las evidencias digitales. Debemos determinar cómo y dónde encontrarlas.

4.2.Cibercrimen

Cualquier equipo conectado a una red informática puede ser vulnerable a los ataques, que se lanzan automáticamente desde equipos infectados (mediante virus, troyanos, gusanos, etc.) sin que el propietario sepa lo que está ocurriendo. En casos atípicos, son ejecutados por piratas informáticos.
Los motivos existentes tras estos ataques son diversos:

  • Obtener acceso al sistema.

  • Robar información, secretos industriales o propiedad intelectual.

  • Recopilar información personal acerca de alguien (un usuario).

  • Obtener información de cuentas bancarias.

  • Obtener información de una organización (la compañía del usuario, etc.).

  • Afectar al funcionamiento normal de un servicio.

  • Utilizar el sistema de un usuario como un "trampolín" para un ataque a otro lugar.

  • Usar los recursos del sistema del usuario para fines distintos, en particular cuando la red en la que se localiza el sistema atacado tiene un ancho de banda considerable.

4.3.Ejemplos de crímenes cibernéticos

4.3.1.Inkjet International
Esta firma de medios impresos de alta calidad ganó un caso contra un ex gerente general y un inversionista del gerente. Veamos cómo se desarrolló el proceso.
Antes de abandonar Inkjet Int. para formar su propia empresa (de la misma índole) con su compañero, el gerente envió por correo la base de datos de clientes de Inkjet Int. a su ordenador personal. Ambos fueron acusados por su antigua empresa del robo de información, aunque ellos lo negaron firmemente, suponiendo que nadie podría rastrear los envíos de correo, ya que habían tomado la precaución de borrar dichos correos y sus adjuntos.
La compañía Data Recovery Services, especializada en la recuperación de datos perdidos e informática forense, fue contratada por Inkjet Int. Sus especialistas forenses pudieron recuperar el correo y los adjuntos que contenían la base de datos de los clientes. Después de un juicio de tres semanas (2001), durante el cual los peritos testificaron en la causa, el jurado emitió un veredicto favorable a Inkjet Int. por el cual la empresa debía ser indemnizada con 1,87 millones de dólares.
4.3.2.Robo de tarjetas de crédito
La policía sospechaba que un grupo de individuos estaba robando números de tarjetas de crédito. Habían seguido al grupo, pero no habían podido obtener ninguna evidencia substancial que apoyara el robo de las numeraciones. Después de la redada efectuada en el domicilio de uno de los sospechosos, se encontraron varios ordenadores y tarjetas de memoria. Se incautaron todas las evidencias y se sometieron a un análisis forense.
Después del análisis, se hallaron dos programas utilizados para leer y escribir tarjetas magnéticas, como por ejemplo las tarjetas de crédito. Estos programas incluían varios archivos de texto que contenían datos en un formato compatible con las numeraciones que aparecen en las bandas magnéticas de una tarjeta de crédito. Asimismo, los especialistas lograron extraer los datos de las tarjetas de memoria y encontraron los detalles bancarios de varios individuos, muchos de los cuales coincidían con los encontrados en los archivos de texto.
Finalmente, se redactó un informe pericial, el cual fue determinante para conseguir la condena de varios miembros del grupo.
4.3.3.BTK killer
Dennis L. Rader. fue un asesino múltiple que tuvo en jaque a la policía del estado de Kansas (Estados Unidos) durante dieciséis años. Se hizo conocer con las siglas BTK (bind, torture and kill, es decir, 'atar, torturar y matar'), y cometió al menos diez crueles asesinatos. BTK solía enviar a la prensa notas en las que reconocía la autoría de los crímenes.
Tras su último asesinato, envió, como de costumbre, su aviso a la prensa, pero esta vez escogió notificar la macabra acción con un disquete. El análisis de los metadatos de un fichero eliminado (y que, afortunadamente, pudo recuperarse) del disquete reveló el nombre del asesino. Esta información, junto a otros datos contenidos en el disquete, permitieron identificar y detener al asesino tan sólo diez días después del envío del disquete.

Resumen

Hemos visto cómo se ha originado la informática forense y su expansión como técnica, tanto de prevención como de descubrimiento ante incidentes. Debemos contar con la inevitable existencia de eventuales incidentes de seguridad. Éstos pueden ser (o no) de índole dolosa (con intención de causar daño y constituir un hecho delictivo), y debemos, por lo tanto, estar preparados para ello.
Ante un incidente, sólo la informática forense nos va a permitir averiguar lo sucedido y reunir las evidencias digitales de modo que puedan ser usadas en términos jurídicos, si procede.

Actividades

1. Buscad en la Red información adicional sobre:

  • Locard. Descubriréis que ha cambiado muchos de los conceptos de la criminalística moderna. La ciencia forense actual sería distinta sin su trabajo.

  • Las asociaciones siguientes, relacionadas con la informática forense:

    • International Association of Computer Investigative Specialist (IACIS). Esta asociación ofrece una certificación internacional (CFEC, Computer Forensic External), dirigida a analistas que no formen parte de los cuerpos policiales o judiciales.

    • European Network of Forensic Science Institute (ENFSI).

    • International Organisation on Computer Evidence (IOCE).

    • Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas (es-CERT).

Ejercicios de autoevaluación

1. ¿Cómo se define la informática forense ?

2. Relacionad los términos con sus descripciones.
1. Detectar incidente
a) Anticiparse al incidente
2. Locard
b) Detección y análisis
3. Objetivo preventivo
c) Tener control sobre la evidencia
4. Principio de la informática forense
d) IDS
5. Etapa gestión incidentes
e) Cada contacto deja un rastro

3. ¿Cuáles de estas frases son ciertas y cuáles falsas?

Ejercicios de autoevaluación
1. c
2.  
1. d
2. e
3. a
4. c
5. 2

3.

  1. Falso

  2. Cierto

  3. Cierto

  4. Falso

  5. Cierto



Glosario

CART n
Computer Analysis and Response Team (CART). El Equipo de Respuesta de Análisis de Ordenador del FBI proporciona ayuda en la búsqueda y toma de pruebas de ordenador, así como exámenes forenses y apoyo técnico para investigaciones.
ciencia forense f
La aplicación de prácticas científicas dentro del proceso legal. La ciencia forense abarca tanto la rama civil como la penal del derecho.
evidencia m
Cualquier elemento que proporcione información de la que se pueda inferir alguna conclusión, o bien que constituya un hallazgo relacionado con el hecho que se investiga.
FLECT n
Federal Law Enforcement Training Center (FLETC). Centro de Entrenamiento Federal para el Cumplimiento de la Ley que entrena a más de ochenta agencias federales. El centro también proporciona servicio a agencias estatales e internacionales. Tiene su sede en Glynco.
IACIS n
International Association of Computer Investigative Specialists (IACIS), es decir, Organización Internacional de Especialistas en Investigación Informática. Es un voluntariado internacional sin ánimo de lucro compuesto de profesionales dedicados a enseñar en el campo de la informática forense. Los miembros de la IACIS representan a profesionales de ámbito nacional e internacional.
informática forense f
Ciencia forense que se ocupa del uso de los métodos científicos aplicables a los sistemas informáticos. Se encarga de la preservación, identificación, extracción, documentación e interpretación de la evidencia digital, de manera que ésta sea aceptada en un proceso judicial.
IOCE n
International Organization on Computer Evidence (IOCE), o sea, Organización Internacional de Evidencia Computacional. Su propósito es proveer un foro internacional para el intercambio de la información relacionada con la investigación computacional y la informática forense.
organización f
Cualquier entidad, institución o agrupación que necesite o utilice una infraestructura informática para llevar a cabo su objetivo.
sistema informático m
Todo dispositivo físico o lógico utilizado para crear, generar, enviar, recibir, procesar, comunicar o almacenar, de cualquier forma, mensajes de datos.
tecnologías de la información (TI) f
Conjunto de técnicas para procesar información en cualquier formato que pueda aparecer. Con eso también se incluye la informática.
TI f
 Ved tecnologías de la información

Bibliografía

Ashcroft, J.; Daniels, D.; Hart, S. (2004). Forensic Examination of Digital Evidence: A Guide for Law Enforcement U.S. Department of Justice: National Institute of Justice.<https://www.ncjrs.org/pdffiles1/nij/199408.pdf>
Colobran Huguet, M.; Arques Soldevila, J.; Marco Galindo, E. (2008). Administració de sistemes operatius en xarxa. Barcelona: Editorial UOC.
Colobran Huguet, M.; Moron Lerma, E. (2004). Introducción a la seguridad informática. Barcelona: Planeta UOC S. L.
Grance, T.; Kent, K.; Kim, B. (2004). Computer Security Incident Handling Guide U.S. Department of Commerce: Nist, National Institute of Standards and Technology.<https://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf>
López Delgado, M. (2007). Análisis Forense Digital(2.ª ed).<https://www.codemaster.es/docs/Forensics_ed2.pdf>
Scientific Working Group on Digital Evidence (2006). Best Practices for Computer Forensics<https://www.swgde.org/documents/swgde2006/Best_Practices_for_Computer_Forensics%20July06.pdf>
Shinder, D. (2002). Prevención y detección de delitos informáticos. Madrid: Anaya.
Valeri, L.; Somers, G.; Robinson, N.; Graux, H.; Dumortier, J. (2006). Handbook of Legal Procedures of Computer and Network Misuse in EU CountriesBruselas: European Commission.<https://www.rand.org/pubs/technical_reports/2006/RAND_TR337.pdf>
U. S. Department of Justice. Federal Bureu of Investigation. Laboratory Division (2007). Handbook of Forensic Services E.E.U.U.<https://www.fbi.gov/hq/lab/handbook/forensics.pdf>