Abstract: Los desarrollos de la tecnología de información han comenzado a plantear nuevos desafíos y la mayoría de la profesiones se han tenido que adaptar a la era digital, particularmente la fuerza policial debe actualizarse, dado que la explotación criminal de las tecnologías digitales hacen necesarios nuevos tipos de investigación.Por Alberto David Airala, Osvaldo Horacio RapettiLos desarrollos de la tecnología de información han comenzado a plantear nuevos desafíos y la mayoría de la profesiones se han tenido que adaptar a la era digital, particularmente la fuerza policial debe actualizarse, dado que la explotación criminal de las tecnologías digitales hacen necesarios nuevos tipos de investigación.
Cada vez más la tecnología informática se ha convertido en un instrumento para cometer crímenes. Investigar estos crímenes sofisticados y recolectar la evidencia necesaria para presentación del caso a la justicia se ha convertido en una significativa responsabilidad de los investigadores asignados.
La aplicación de la tecnología informática en la investigación de un ilícito cometido usando una computadora , ha creado una nueva especialización, la informática forense, que es el proceso de identificar, preservar, analizar y presentar la evidencia digital de una manera legalmente aceptable.
Abarca cuatro partes fundamentales.
1. La identificación de evidencia digitalEs el primer paso en el proceso forense. Sabiendo qué evidencia está presente, dónde y como se guarda, es vital determinar qué procesos serán empleados para efectuar su recuperación. Aunque muchas personas piensan que solamente las computadoras personales son el centro de la informática forense, en la realidad el concepto puede extenderse a cualquier dispositivo electrónico que sea capaz de almacenar información, como los teléfonos celulares, las agendas electrónicas y las tarjetas inteligentes. Además, el examinador forense debe poder identificar el tipo de información almacenada en un dispositivo y el formato en que se guarda para usar la tecnología apropiada para extraerlo.
2. Preservación de la evidencia digitalEs un elemento crítico en el proceso forense. Dado que los datos serán analizados minuciosamente en un juzgado, es indispensable que cualquier examen de los datos electrónicamente guardados se lleve cabo de la manera menos intrusiva posible.
Hay circunstancias dónde los cambios de datos son inevitables, pero es importante que se haga en la menor medida posible. En situaciones dónde el cambio es inevitable, es esencial que la naturaleza y razón del mismo pueda explicarse con detalle. La alteración en los datos que tengan valor de evidencia debe ser registrada y justificada. Esto no sólo se aplica a cambios hechos a los datos, sino que también incluye cambios físicos que se hagan a un dispositivo electrónico en particular.
3. El análisis de la evidencia digitalLa extracción, procesamiento e interpretación de los datos digitales, se consideran generalmente como los elementos principales de la informática forense.
Una vez obtenida, la evidencia digital, normalmente requiere de un proceso, antes que pueda ser comprendida por las personas. Por ejemplo, cuando se tiene la imagen de un disco, los datos contenidos dentro de la misma requieren un proceso (conversión) para que una persona los pueda interpretar.
4. La presentación de evidencia digitalEsto incluye la manera formal de la presentación, la especialización y calificaciones del perito y la credibilidad de los procesos que empleó para producir la evidencia que se está presentando ante el juzgado, árbitro o mediador que interviene.
El rasgo distintivo de la informática forense, que la diferencia de cualquier otra área de la tecnología de información, es el requisito que el resultado final debe derivarse de un proceso que sea legalmente aceptable. Por consiguiente, la aplicación de la tecnología en la investigación de los hechos que poseen estas características específicas debe llevarse a cabo con todos los requisitos que exige la ley. El no hacerlo puede producir que la evidencia digital sea considerada inadmisible, o al menos dudosa (contaminada). Esto puede ejemplificarse cuando el examinador forense utiliza un software para leer y reproducir los datos contenidos dentro de un documento electrónico. Por ejemplo, una hoja de cálculo, que contiene los datos financieros. Si un tercer producto de software es usado para reproducir íntegramente la hoja de cálculo y ese producto no interpreta cada dato con precisión y exactitud, el significado entero del documento puede cambiar. Esto puede, además de generar dudas con relación a los procesos empleados durante el examen forense, también poner en tela de juicio la habilidad y especialización del examinador que produjo el documento presentado como evidencia.
Actividades de la Informática Forense.
La informática forense no es una sola actividad, utiliza muchas disciplinas. Involucra la aplicación de tecnología de la información para la búsqueda de la evidencia digital y comprende, entre otras, las siguientes tres actividades:
Análisis de soportes y dispositivos electrónicosEl análisis de soportes de almacenamiento, como los discos, almacenamientos removibles (por ejemplo disquetes, discos ZIP, CD-ROMs, DVD, etc.), requiere una comprensión completa de la estructura física y del funcionamiento de los medios almacenamiento, así como, la forma y la estructura lógica de cómo se almacenan los datos. Mucha de la complejidad de esta actividad se ha simplificado gracias a la aplicación de herramientas de recuperación de datos muy eficaces e inteligentes. Por consiguiente, mucho del conocimiento exigido para realizar la tarea esta integrado en el software de recuperación de datos que se use. Cuando mencionamos a los "dispositivos electrónicos” nos referimos a cualquier dispositivo capaz de guardar información que posea valor como evidencia, incluyendo teléfonos celulares, agendas y organizadores electrónicos y distintos dispositivos de comunicaciones de red como los routers y hub's. El análisis de tales dispositivos es algo más complejo que la actividad de recuperar los datos de los soportes y el hardware requerido es generalmente más especializado. La estandarización de los dispositivos de hardware ha hecho que la extracción de datos de algunos tipos de dispositivos electrónicos sea más fácil y a la vez ha permitido adquirir el conocimiento para realizar la recuperación de los datos en dispositivos específicos. Dado el amplio alcance de la informática forense, no es para sorprenderse que varias ciencias y disciplinas estén involucradas: Ingeniería de software, criptografía, ingeniería electrónica, comunicaciones, derecho, son áreas de especialización que, en conjunto hacen posible el análisis de los dispositivos electrónicos y soportes de información.
El análisis de la comunicación de datosEste acápite abarca dos actividades separadas:
* Intrusión en una red de computadoras o mal uso de la misma.
* Interceptación de datos.
La intrusión en una red de computadoras o mal uso de la misma es la actividad de la informática forense principal cuando el análisis se hace sobre estructuras de esta naturaleza. Consiste en las funciones siguientes:
* Detección de la intrusión.
* Detectar la evidencia, capturarla y preservarla; y
* Reconstrucción de la actividad específica o del hecho en sí.
El descubrimiento de la intrusión generalmente involucra la aplicación de software especializado y en algunos casos hardware, para supervisar la comunicación de los datos y conexiones a fin de identificar y aislar un comportamiento potencialmente ilegal.
Este comportamiento incluye el acceso no autorizado, modificación del sistema en forma remota y el monitoreo no autorizado de paquetes de datos.
La captura de la evidencia y su preservación, generalmente tiene lugar después del descubrimiento de una intrusión o un comportamiento anormal, para que la actividad anormal o sospechosa pueda conservarse para el posterior análisis.
La fase final, la reconstrucción de la intrusión o comportamiento anormal, permite un examen completo de todos los datos recogidos durante la captura de la evidencia.
Para llevar a cabo con éxito estas funciones, el investigador forense debe tener experiencia en comunicación de datos y el apoyo de ingenieros de software.
Investigación y desarrolloLa investigación y desarrollo de nuevas técnicas y herramientas son vitales para estar actualizado frente a cambios en la tecnología. Deben dedicarse Tiempo y Recursos a la investigación y desarrollo de nuevas técnicas forenses, no sólo desarrollar las soluciones a los problemas existentes, sino también para reconocer problemas futuros y hallar las soluciones más adecuadas. Desgraciadamente, los recursos y habilidades necesarios para mantener una investigación eficaz y un programa de desarrollo están más allá de la capacidad financiera de muchos grupos forenses. Y una restricción adicional es que cualquier solución derivada de la investigación debe cumplir con todos los requisitos que marca la ley dentro del marco de trabajo de la informática forense.
Reglas de la informática forenseDado que el último producto del proceso forense está sujeto al análisis judicial, es importante que las reglas que lo gobiernan se sigan. Aunque estas reglas son generales para aplicar a cualquier proceso en la informática forense, su cumplimiento es fundamental para asegurar la admisibilidad de cualquier evidencia en un juzgado. Dado que la metodología que se emplee será determinada por el especialista forense, el proceso escogido debe aplicarse de forma que no se vulneren las reglas básicas de la informática forense.
Esencialmente, las reglas de la informática forense son:Regla 1—Minimizar el Manejo del Original
La aplicación del proceso de la informática forense durante el examen de los datos originales se deberá reducir al mínimo posible. Esto puede considerarse como la regla más importante en la informática forense. Cualquier análisis debe dirigirse de manera tal que minimice la probabilidad de alteración. Cuando sea posible, esto se logra copiando el original y examinando luego los datos duplicados.
La duplicación de evidencia tiene varias ventajas: Primeramente, asegura que el original no será alterado en caso de un uso incorrecto o inapropiado del proceso que se aplique.
Segundo, le permite al examinador aplicar diferentes técnicas en casos dónde el mejor resultado no está claro. Si, durante tales ensayos, los datos se alteran o se destruyen, simplemente se recurre a otra copia.
En tercer lugar, les permite a varios especialistas de informática forense trabajar en los mismos datos, o en partes de los datos, al mismo tiempo. Esto es especialmente importante si las habilidades de los especialistas (por ejemplo, criptoanálisis) se requiere en distintas etapas de la tarea. Finalmente, asegura que el original se ha preservado en el mejor estado posible para la presentación en un juzgado.
Aunque hay ventajas al duplicar la evidencia, hay también desventajas.
Primeramente, la duplicación de evidencia debe realizarse de forma tal y con herramientas, que aseguren que el duplicado es una copia perfecta del original. El fracaso para autenticar el duplicado apropiadamente, producirá un cuestionamiento sobre su integridad, lo que lleva inevitablemente a preguntar por la exactitud y fiabilidad del proceso del examen y los resultados logrados. Segundo, duplicando el original, nosotros estamos agregando un paso adicional en el proceso forense. Se requieren más recursos y tiempo extra para facilitar el proceso de duplicación. Más aun, la metodología empleada debe extenderse para incluir el proceso de la duplicación. Finalmente, la restauración de datos duplicados para recrear el ambiente original puede ser difícil. En algunos casos para ello serán necesarios dispositivos específicos de hardware o software, más la complejidad y tiempo del proceso forense.
Regla 2—Documentar los cambios.
Cuando ocurren cambios durante un examen forense, la naturaleza, magnitud y razón para ellos debe documentarse apropiadamente, puede ser necesario durante cualquier examen alterar el original o el duplicado. Esto se aplica para ambos tanto a nivel físico como lógico. En tales casos es esencial que el examinador entienda la naturaleza del cambio y que es el iniciador de ese cambio. Adicionalmente, el perito debe ser capaz de identificar correctamente la magnitud de cualquier cambio y dar una explicación detallada de por qué era necesario el mismo. Esencialmente esto se aplica a cualquier material de evidencia que se obtiene de un proceso forense en el que ha ocurrido un cambio.
Esto no quiere decir que el cambio no ocurrirá sino, que en situaciones dónde es inevitable, el examinador tiene la responsabilidad de identificar correctamente y documentar el cambio, ya que este proceso depende directamente de las habilidades y conocimiento del investigador forense.
Durante el examen forense este punto puede parecer insignificante, pero se vuelve un problema crítico cuando el examinador está presentando sus resultados en un juicio. Aunque la evidencia puede ser legítima, las preguntas acerca de las habilidades del examinador y conocimiento pueden afectar su credibilidad, así como la confiabilidad del proceso empleado. Con una duda razonable, los resultados del proceso forense, en el peor de los casos, se consideraran inadmisibles. Aunque la necesidad de alterar los datos ocurre pocas veces, hay casos dónde al examinador se le exige el cambio para facilitar el proceso del examen forense. Por ejemplo cuando el acceso a los datos se encuentra restringido por alguna forma de control de acceso, el examinador forense se puede ver obligado a cambiar el bit de acceso o una cadena binaria de datos completa (clave de acceso), por ello el perito debe dar testimonio que tales cambios no alteraron significativamente los datos a los que se accedió por medio de esta metodología y que luego son presentados como evidencia.
Regla 3—Cumplir con las Reglas de Evidencia
Para la aplicación o el desarrollo de herramientas y técnicas forenses se deben tener en cuenta las reglas pertinentes de evidencia. Uno de los mandatos fundamentales de informática forense es la necesidad de asegurar que el uso de herramientas y técnicas no disminuye la admisibilidad del producto final. Por consiguiente es importante asegurar que la manera como son aplicadas las herramientas y técnicas, cumplan con las reglas de evidencia. Otro factor importante en cuanto a la obediencia de las reglas de evidencia es la manera en que la misma se presenta. Esencialmente, debe presentarse la información de una manera que sea tan representativa del original como sea posible. Es decir, el método de presentación no debe alterar el significado de la evidencia.
Regla 4—No exceda su conocimiento
El especialista en informática forense no debe emprender un examen más allá de su nivel de conocimiento y habilidad. Es esencial que el perito sea consciente del límite de su conocimiento y habilidad. Llegado este punto, tiene varias opciones:
* Detener cualquier examen y buscar la ayuda de personal más experimentado;
* Realizar la investigación necesaria para mejorar su propio conocimiento, para que le permita continuar el examen; o
* continuar con el examen en la esperanza que....
La última opción es sin la duda la más peligrosa.
Es indispensable que el examinador forense puede describir los procesos empleados durante un examen correctamente y explicar la metodología seguida para ese proceso. El fracaso para explicar, competentemente y con precisión, la aplicación de un proceso o procesos puede producir cuestionamientos sobre el conocimiento y credibilidad del examinador. Otro peligro en continuar un examen más allá de las habilidades de uno, es aumentar el riesgo de daño, cambios de los cuales el examinador no es consciente o no entiende y por consiguiente puede ignorar. Esto probablemente será revelado cuando el examinador está dando la evidencia. Esencialmente, los análisis complejos deben ser emprendidos por personal calificado y experimentado que posea un apropiado nivel de entrenamiento. Adicionalmente, dado que la tecnología está avanzando continuamente, es importante que el examinador reciba entrenamiento continuo.
Los Problemas actuales y Futuros para la Informática ForenseLos adelantos en la tecnología dan lugar nuevos y excitantes desafíos, pero también enfrentan al especialista de informática forense con nuevos problemas. Los adelantos en tecnología también pueden llevar a las soluciones más avanzadas pero desafortunadamente, aunque la tecnología puede cambiar y se puede adaptar, la ley es algo más lenta en su adecuación. Recordándole al especialista en informática forense que sirve dos amos, la tecnología y la ley, ellos deben encontrar un equilibrio aceptable entre los dos. No todos los desafíos enfrentados por la informática forense son de naturaleza técnica. Ellos también deben tratar con problemas de procedimiento, política, entrenamiento, cambios organizacionales, presupuesto, etc.
Los sistemas operativosDurante la última década hemos sido testigos de los rápidos adelantos en el diseño y funcionalidad los sistemas operativos (OS), del DOS que tenía su interfase basada en texto a la Interfase de Usuario Gráfica (GUI) de sistemas operativos como Windows, Unix (Xwindows), OS/2, etc. Con el advenimiento de la Interfase de Usuario Gráfica, los sistemas operativos se han puesto más grandes, más poderosos y más amigables. Es el tamaño y funcionalidad del sistema operativo de GUI que presenta a la informática forense un nuevo desafío. Cuando el DOS era el sistema operativo predominante para la computadora personal, las cosas eran mucho más fáciles para el especialista de informática forense. El DOS podía instalarse en un disquete y el sistema sospechoso cargarse desde el disquete. No se cargaban los manejadores de dispositivos específicos, pero dado la simplicidad del ambiente operativo, generalmente no importaba.
Hoy, el tamaño del GUI hace que el sistema operativo no puede instalarse en su totalidad en un disquete. Aunque nosotros todavía podemos cargar una interfase de texto, muchas de las características del sistema operativo, las que son realmente importantes, no pueden accederse para su uso.
En el ambiente de laboratorio el problema de tamaño no es relevante, principalmente debido al desarrollo de tecnologías alternativas, pero en la práctica es un gran problema.
Así como los sistemas operativos han crecido en el tamaño, también lo hizo su funcionalidad. De todos los rasgos incorporados en el GUI, el más peligroso para la informática forense es la característica "plug and play" ya que esta está configurada para una computadora específica.
El sistema operativo graba las características y la configuración de todo el hardware instalado, cualquier elemento de hardware que se quite es detectado por el sistema operativo y producirá los cambios en los archivos de configuración...
El impacto de esta inteligencia tiene serias implicaciones para el proceso del examen forense, quitando una unidad de disco duro e insertándolo en otra computadora el sistema operativo inevitablemente producirá los cambios en los archivos de configuración teniendo en cuenta esta característica, la posibilidad de cambios se aumenta significativamente.
El volumen de los datosProbablemente el más grande desafío que hoy enfrenta la informática forense es el rápido aumento en la capacidad de los medios de almacenamiento. El advenimiento de nuevas tecnologías de almacenamiento, combinado con la demanda de aumento de espacio para almacenamiento por los usuarios y diseñadores del software, ha producido un rápido aumento en el tamaño de unidades de disco. Así como la capacidad de unidades de disco ha aumentado, también lo hizo el volumen de datos que se guardan en estos medios de almacenamiento.
El aumento del uso de la tecnología multimedial, combinado con la expansión rápida de Internet, ha producido la demanda de mayor capacidad de almacenamiento. Esto ha llevado a su vez a un aumento en la cantidad de información que las personas almacenan (permanente o temporalmente) en sus computadoras. El hecho de copiar, almacenar y procesar grandes volúmenes de datos presenta un desafío único a la informática forense.
El copiado de datos simplemente no se refiere a copiar los archivos, sino que incluye la confección de una imagen binaria.
Mientras que la cantidad de datos que resulta de la copia de archivos, depende de la cantidad de archivos que se extraigan del disco rígido, en el caso de una imagen binaria dependen de la capacidad física del disco que se está copiando. Aún con compresión, la cantidad de datos involucrada es muy grande.
Por ejemplo, la imagen (sin compresión) de una unidad de disco duro de 10 GB producirá un archivo de 10 GB de tamaño. Copiar estas grandes cantidades de datos requiere el uso de herramientas muy especializadas. El problema se complica si los datos se deben extraer de varias computadoras, o grandes archivos de un servidor. El almacenamiento de estos grandes volúmenes de datos también presenta al examinador forense nuevos problemas.
Muchos especialistas han optado por solucionar el inconveniente con el uso de una red. Esencialmente, los servidores de la red son dispositivos de almacenamiento muy grandes. Para sostener tales volúmenes de datos para el análisis de informática forense se requieren grandes capacidades de almacenamiento. Sin embargo, el almacenamiento del servidor sólo proporciona una solución a corto plazo, ya que los datos no pueden residir para siempre en el mismo, por lo tanto, tienen que ser encontradas las soluciones de almacenamiento de largo plazo.
Actualmente, las soluciones más populares son la cinta y CD-ROMs, pero los dos tienen sus limitaciones. CD-ROMs puede almacenar sólo 650 MB de datos o sea que para resguardar una imagen de un disco de10 GB se necesitan unos 16 CD. La cinta proporciona el almacenamiento mayor, pero su confiabilidad con respecto al almacenamiento a largo plazo es cuestionable. Además, la cinta es más susceptible de corromperse que un CD-ROM.
Una solución que está surgiendo es el Disco Versátil Digital (DVD), pero en la actualidad su aceptación dentro de la informática forense es limitada.
El procesamiento oportuno y a tiempo de estos grandes volúmenes es el último desafío para el especialista de informática forense.
Identificar y recuperar la información en una forma que sea legalmente aceptable, requiere de más tiempo y esfuerzo que el normalmente necesario para procesos similares.
Esto genera la necesidad de usar herramientas especializadas y hay pasos extras dentro del proceso del análisis.
Los dispositivos digitalesLos recientes adelantos en microelectrónica han permitido que los microprocesadores sean más poderosos y físicamente más pequeños. No sólo los microprocesadores son más rápidos y más capaces, sino que los chips de almacenamiento han aumentado significativamente su capacidad.
Estas mejoras tienen un impacto directo en el proceso del análisis forense por ejemplo los pequeños dispositivos electrónicos personales, como las agendas electrónicas, pueden guardar y procesar cantidades significativas de datos, que pueden tener valor como evidencia en una investigación. Las ventajas de examinar tales dispositivos pueden ilustrarse mejor en investigaciones relacionadas con la droga, cada vez más, los narcotraficantes sospechosos se están acostumbrando a usar agendas electrónicas para guardar los nombres del contacto y números telefónicos de clientes. Las agendas electrónicas permiten el almacenamiento de cantidades grandes de datos que pueden protegerse por medio de una contraseña. No es ninguna sorpresa que el acceso legal a la información contenida en tales dispositivos puede representar para la ley, la cueva de Aladino en lo que a información incriminatoria se refiere. Estas tecnologías han dado lugar a una aplicación de microelectrónica de gran impacto en nuestra sociedad, la tarjeta inteligente. La capacidad de las tarjetas inteligentes, no sólo para guardar cantidades importantes de datos, sino también para procesar y asegurar datos en un solo chip, agrega complicaciones al proceso del examen forense. Así como tecnología de la tarjeta inteligente es sofisticada, también lo son los procesos forenses para analizar y extraer los datos, lo que exige un nivel de investigación y desarrollo de herramientas, más allá de los recursos de muchas de las unidades de informática forense.
EncripciónLas mejoras en las tecnologías de procesamiento de datos, combinadas con los avances en la criptología hacen que los esquemas de encripción actuales sean relativamente confiables para el usuario cotidiano. Con las recientes experiencias se ha visto que el uso de encripción se ha extendido de lo que ha sido tradicionalmente el dominio de los hackers a otras actividades delictivas. En particular, los pedófilos que frecuentan Internet y usan la encripción para esconder imágenes de pornografía infantil. Puede citarse el caso de un pedófilo que tenía en su poder de una cantidad de imágenes de pornografía infantil, algunas estaban encriptadas con programas disponibles comercialmente para enmascarar su naturaleza durante la transmisión, vía Internet, como así también se hallaban cambiados los nombres de archivo para simular que los datos no eran una imagen gráfica.
Los adelantos en las comunicaciones, tal como el acceso a Internet, han hecho que los métodos de encripción complejos sean ahora accesibles, presentando al examinador de informática forense una barrera importante. Sin tener en cuenta el proceso de encripción usado, si el usuario tiene que abrir un texto cifrado usando una contraseña o llave, ya sea con un algoritmo de clave simétrico o asimétrico, el proceso de encripción casi siempre puede ser atacado usando las técnicas de fuerza bruta. Aunque esta parece ser la respuesta para romper el cifrado, muchas veces es impracticable. El uso de llaves fuertes (de longitudes largas) puede producir que un ataque de fuerza bruta durará muchos años o décadas lo cual no es una proposición viable para la mayoría de las investigaciones delictivas.
Bibliografía:
· Digital Evidence and Computer Crime. CASEY, E. Academic Press, 2000.
· Handbook of Computer Crime Investigation. CASEY, E. Academic Press, 2001.
· Hack attacks revealed. A complete reference with custom security hacking toolkit. CHIRILLO, J. John Wiley & Sons, 2001.
· Internet Besieged. Countering Cyberspace Scofflaws. DENNING, D. y DENNING, P. ACM Press, 1998.
· Seguridad y Comercio en el Web. GARFINKEL, S. y SPAFFORD, G. McGraw Hill, 1999.
· Leyes y negocios en internet. HANCE, O. McGraw Hill, 1996.
· Symposium on Security and Privacy. IEEE. CD-ROM, 1980-1999.
· High-Technology Crime. Investigator's Handbook. KOVACICH, G. Butterworth Heinemann, 2000.
· Handbook of Information Security Management 1999. KRAUSE, M. y TRIPTON, H. CRC Press, 1999.
· Incident Response. Investigation Computer Crime. MANDIA, K. y PROSISE, C. McGraw Hill, 2001.
· Detección de intrusos. Guía avanzada. NORTCUTT y NOVAK. Prentice Hall, 2001.
· Fighting Computer Crime. A new framework for protecting information. PARKER, D. John Wiley & Son, 1998.
· Aspectos jurídicos del comercio electrónico en Internet. RIBAS, J. Aranzadi Editorial, 1999.
· Criminalistics. An introduction to forensic science. SAFERSTEIN, R. Prentice Hall, 2001.
· Investigation Computer Related Crime. STEPHENSON, P. CRC Press, 1999.
· Oscar López; Haver Amaya; Ricardo León; Beatriz Acosta, Informática Forense, generalidades, aspectos técnicos y herramientas, trabajo presentado en el Primer Congreso Iberoamericano de Seguridad Informática, CIBSI ’02, celebrado en Morelia, México, febrero de 2002, representando a la Universidad de los Andes, Bogotá, Colombia.
· Jeimy J. Cano, Informática Forense liderando las investigaciones, http://www.virusprot.com/Col8.html
· Jeimy J. Cano, Credenciales para investigadores forenses en informática. Certificaciones y entrenamiento, http://www.virusprot.com/Col8.html
· Evidencia Digital, normas y Principios, F.B.I., http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm
Fuente: http://www.alfa-redi.org/rdi-articulo.shtml?x=1382
