Embed Size (px)
Citation preview
1
INSTITUTO POLITECNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE
INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS
Sección de Estudios de Posgrado e Investigación
DISEÑO E IMPLEMENTACIÓN DE UN
SISTEMA DE ANÁLISIS
FORENSE PARA IMÁGENES
TESIS QUE PARA OBTENER EL GRADO DE
MAESTRO EN CIENCIAS EN
INFORMÁTICA
P R E S E N T A
Alejandro García Tagle
Director de tesis
Dr. Jesús Antonio Álvarez Cedillo
MÉXICO CDMX. 2019
II
III
Agradecimientos
Dedico esta tesis a mi abuela, por estar conmigo en cada
etapa de mi vida, por su apoyo, enseñanzas y comprensión.
A todos y cada uno de los miembros de mi familia, quienes
siempre han sido un gran apoyo durante mi carrera
profesional y maestría.
A mis padres, por creer en mí todo el tiempo.
Al Dr. Jesús Antonio Álvarez Cedillo, quien me apoyo para
escribir y concluir esta tesis.
Para ellos es esta dedicatoria de tesis, pues gracias a la
confianza y apoyo de todos ellos la he podido concluir.
IV
Resumen
En la actualidad existen muchas y diferentes herramientas para el procesamiento de datos, por
lo que, según sea el objetivo, es de suma importancia seleccionar la herramienta correcta
basándose en la que más se ajuste a las necesidades u objetivos específicos que se tengan. En
este caso el enfoque estará orientado hacia las herramientas para el procesamiento de datos
de utilidad para la informática forense, las cuales sirven de apoyo para determinar si es que se
cometió o no algún crimen o si la información presentada en las imágenes, videos y documentos
es original o fue alterada de alguna forma.
Dentro de la disciplina de la informática forense se tiene una diversidad inmensa de
herramientas para el procesamiento de datos que contribuyen en determinadas investigaciones.
Hoy en día habría que hacernos una pregunta clave para la evolución de esta disciplina: ¿Estas
herramientas se adecuan al objetivo específico de la cada investigación?, en este caso la
herramienta presentada será auxiliar para el perito en informática para poder ubicar
metadatos en imágenes con la particularidad de dar informes precisos y puntuales para la
investigación.
Muchas de las herramientas que se encuentran actualmente en el mercado son software de
forma libre que nos muestran datos en bruto sin ningún tipo de información auxiliar en el tema,
sin embargo, a cada día la exigencia es más grande ya que mientras más elementos tengamos,
se podrá proveer al forense de mayor información valiosa para su investigación.
Se desarrolló un sistema con la cual se puede presentar información con base en metadatos
para imágenes y vídeo, la cual ayudará al forense de una manera rápida y sencilla gracias a la
estructura orgánica con la que se desarrolló.
V
Abstract
Currently there are many different tools for information processing so, depending on the
objective, it is very important to select the one that best suits the needs you have. In this case we
will focus on forensic computer tools, which help determine if a crime was committed or not or
if the information presented is original or was altered in some way The necessary tools for this
purpose are within the computer forensic, we have an immense diversity within those willing to
computer forensics however we should ask ourselves the question if these tools are suitable for
the purpose of the investigation, in this case the tool presented will be auxiliary for the computer
expert to locate metadata in images with the particularity of giving accurate reports.
Many of the tools that are found today in the market or free software show raw data without
any auxiliary information on the subject, however today the demand is greater because the more
elements we have, the more we will be able to provide valuable information to the coroner
within his investigation.
System was developed with which you can present information based on metadata for images
and video, which will help the forensic doctor quickly and easily thanks to the organic structure
with which it was developed.
VI
Contenido Resumen ........................................................................................................................................................ IV
Abstract ........................................................................................................................................................... V
ÍNDICE DE FIGURAS .....................................................................................................................................IX
ÍNDICE DE TABLAS .......................................................................................................................................XI
Introducción ............................................................................................................................................... XIX
Objetivo general ......................................................................................................................................... XIX
Objetivos particulares ................................................................................................................................. XX
Justificación ................................................................................................................................................. XX
Capítulo 1 ....................................................................................................................................................... 1
1. Marco Contextual .................................................................................................................................. 1
1.1. ¿Qué es seguridad informática? .................................................................................................... 1
1.1.1. ¿Qué queremos proteger? ..................................................................................................... 2
1.1.2. ¿De qué nos queremos proteger? .......................................................................................... 4
1.2. Importancia de la informática forense ........................................................................................ 12
1.2.1. Importancia de la recolección de evidencia ....................................................................... 14
1.2.2. Usos de la Informática Forense .......................................................................................... 18
1.2.3. Desafíos del informático Forense ....................................................................................... 19
1.3. Necesidad de analizar los metadatos .......................................................................................... 20
1.3.1. Dificultades al presentar un informe forense ..................................................................... 21
1.4. Marco Jurídico ............................................................................................................................. 22
1.5. Anomalías en el Seguimiento de EXIF en el Análisis Forense de Metadatos de Imágenes de
Móviles ..................................................................................................................................................... 25
1.5.1. Metodología para el desarrollo de procedimientos periciales en el ámbito de la
informática forense .............................................................................................................................. 27
1.5.2. Cyber Forensics ................................................................................................................... 27
1.5.3. Análisis forense de imágenes mediante el uso de metadatos ........................................... 27
1.5.4. Aplicación de la técnica error level analysis y metadatos para el estudio forense de
imágenes producidas por dispositivos móviles .................................................................................. 29
1.5.5. Análisis de metadatos en vídeos digitales de dispositivos móviles ................................. 30
Capítulo 2 ....................................................................................................................................................... 1
2. Marco Teórico ........................................................................................................................................ 1
2.1 Introducción ................................................................................................................................... 1
2.2 Metadatos en imágenes ................................................................................................................. 1
2.1.1. Metadatos Referenciales ....................................................................................................... 2
2.1.2. EXIF ....................................................................................................................................... 4
VII
2.1.3. Estructura general del formato JPEG ................................................................................... 5
2.1.4. Estructura de datos EXIF ...................................................................................................... 6
2.1.5. PDF ......................................................................................................................................... 9
2.1.6. Image File Directory ........................................................................................................... 10
2.1.7. JPEG ..................................................................................................................................... 12
2.1.8. Extensible Metadata Platform ............................................................................................. 13
2.1.9. Datos thumbnail ................................................................................................................... 14
2.1.10. GPS ....................................................................................................................................... 14
Capítulo 3 ....................................................................................................................................................... 1
3. Sistema de Análisis Forense para Imágenes (SAFI).............................................................................. 1
3.1. Introducción ................................................................................................................................... 1
3.1.1. Alcances ................................................................................................................................. 1
3.1.2. Objetivos que cumplir para SAFI ......................................................................................... 2
3.2. Proceso de desarrollo para SAFI .................................................................................................. 3
3.2.1. Fases del desarrollo ............................................................................................................... 6
3.2.2. Análisis ................................................................................................................................. 11
3.2.3. Arquitectura ......................................................................................................................... 12
3.2.4. Diagramas de casos de uso. ................................................................................................ 13
3.2.5. Especificación de los casos de uso. .................................................................................... 14
3.2.6. Diagramas de transición de estados. .................................................................................. 18
3.3. Funciones principales del sistema .............................................................................................. 20
3.4. Requerimientos del sistema .................................................................................................... 21
3.4.1. Requerimientos no funcionales .......................................................................................... 21
3.5. Requerimientos hardware y software del sistema ................................................................. 22
4. Pruebas y resultados .............................................................................................................................. 1
4.1. Interfaz ............................................................................................................................................ 3
4.1.1. Los formatos de archivos ...................................................................................................... 6
4.1.2. Visualizar los datos EXIF ..................................................................................................... 6
4.1.3. GPS ......................................................................................................................................... 7
4.1.4. Datos XMP............................................................................................................................. 8
4.1.5. Visualizar datos de GPano .................................................................................................... 9
4.2. Datos Críticos ............................................................................................................................... 10
4.3. Pruebas ......................................................................................................................................... 14
4.4. Ventajas y desventajas............................................................................................................. 20
4.4.1. Tiempos de procesamiento ...................................................................................................... 23
4.4.2. Conclusiones de la comparativa ............................................................................................. 23
Conclusión ................................................................................................................................................ 24
VIII
5. Apéndice A ............................................................................................................................................ 25
Introducción .......................................................................................................................................... 25
6. Apéndice B ............................................................................................................................................ 30
Referencias .................................................................................................................................................. 31
IX
ÍNDICE DE FIGURAS
FIGURA 1 AMENAZAS PARA LA SEGURIDAD FUENTE: AUTOR _________________ 4
FIGURA 2 INFORME DISTENDÍA: MOBILE EN ESPAÑA Y EN EL MUNDO 2017
FUENTE: (DITRENDIA, 2017). ___________________________________________ 13
FIGURA 3 BOLSA FARADAY. FUENTE: SITIO DE INTERNET
HTTPS://WWW.DIVISION-FORENSE.COM/BOLSA-FARADAY.HTML _________ 16
FIGURA 4 ESTRUCTURA ORGÁNICA INTERNA PDI FUENTE: POLICÍA DE
INVESTIGACIÓN DE CHILE(2017) _______________________________________ 25
FIGURA 5 ESTADO DEL MERCADO MUNDIAL DE DISPOSITIVOS MÓVILES 2006-
2007. _________________________________________________________________ 26
FIGURA 6 PROYECTO DE EXTREME PROGRAMING XP FUENTE: BECK, K. (2004).
EXTREME PROGRAMMING: A GENTLE INTRODUCTION. ___________________ 5
FIGURA 7 CICLO DE RETROALIMENTACIÓN Y PLANIFICACIÓN DE LA
PROGRAMACIÓN EXTREMA FUENTE: BECK, K. (2004). EXTREME
PROGRAMMING: A GENTLE INTRODUCTION _____________________________ 6
FIGURA 8 CARGA DE ARCHIVO ____________________________________________ 18
FIGURA 9 DIAGRAMA DE ESTADO EVALUACIÓN DE METADATOS ____________ 19
FIGURA 10 DIAGRAMA DE ESTADO VALIDACIÓN GPS _______________________ 19
FIGURA 11 DIAGRAMA DE ESTADO REPORTE _______________________________ 20
FIGURA 12 IMAGEN PARA PRUEBAS FUENTE: AUTOR ________________________ 1
FIGURA 13 LECTURA DE METADATOS FUENTE: AUTOR _______________________ 2
FIGURA 14 INTERFAZ SAFI FUENTE:AUTOR __________________________________ 4
FIGURA 15 REPORTE TXT SAFI FUENTE: AUTOR ______________________________ 5
FIGURA 16 REPORTE SAFI CSV FUENTE: AUTOR ______________________________ 6
FIGURA 17 EXIF PILOT FUENTE: AUTOR ____________________________________ 15
FIGURA 18 DATOS EXIF FUENTE: AUTOR ___________________________________ 16
FIGURA 19 EXIFTOOL _____________________________________________________ 16
FIGURA 20 EXIFTOOL FUENTE: AUTOR _____________________________________ 18
FIGURA 21 RESULTADOS DE EXIFTOOL FUENTE: AUTOR ____________________ 19
X
FIGURA 22 RESULTADOS DE EXIFTOOL FUENTE: AUTOR ____________________ 20
FIGURA 23 AGREGAR A VARIABLES DE ENTORNO EXIFTOOL FUENTE: AUTOR 21
FIGURA 24 ASISTENTE DE INSTALACIÓN DE EXIF PILOT FUENTE: AUTOR _____ 22
FIGURA 25 EJECUCIÓN DE SAFI FUENTE: AUTOR ____________________________ 22
XI
ÍNDICE DE TABLAS
TABLA 1.-INFORME PENDERIVE NO. 59337 DE LA POLICIA DE INVESTIGACIÓN
DE CHILE (PDI). 22
TABLA 2.-PRINCIPALES DELITOS INFORMÁTICOS DE MÉXICO, CHILE, BRASIL
FUENTE:SITIO DE INTERNET. 24
TABLA 3.-METADATOS EN IMÁGENES FUENTE: ELABORACIÓN PROPIA. 3
TABLA 4.-ESTRUCTURA GENERAL DEL FORMATO JPEG.FUENTE:AUTOR. 5
TABLA 5.-ESQUEMA GENERAL DE MARCADORES PARA METADATOS PARA UNA
IMAGEN 6
TABLA 6.-ESTRUCTURA GENERAL DE UN ARCHIVO JPEG/EXIF.FUENTE: AUTOR.
7
TABLA 7.-COMIENZO DE TODA ESTRUCTURA JPEG/EXIF.FUENTE: AUTOR. 7
TABLA 8.-ESTRUCTURA BÁSICA DEL SEGMENTO APP.FUENTE: AUTOR. 8
TABLA 9.-ESQUEMA GENERAL DE LA CABECERA TIFF.FUENTE:AUTOR. 9
TABLA 10.-ESTRUCTURA BÁSICA DE UN IFD.FUENTE:AUTOR. 10
TABLA 11.-DATOS DE EXIF. 12
TABLA 12.-ESPECI CACIÓN Y ESTANDARES DE METADATOS. 3
TABLA 13.-CASOS DE USO. 13
TABLA 14.-CASO DE USO: CARGA DE ARCHIVOS 14
TABLA 15.-CASO DE USO: EXTRAER METADATOS. 15
TABLA 16.-CASO DE USO: VALIDACIÓN DE METADATOS GPS. 16
TABLA 17.-CASO DE USO:GENERAR REPORTE. 17
TABLA 18.-DIFERENCIA ENTRE CREATE DATE Y DATE TIME ORIGINAL. 12
TABLA 19.-TABLA RESULTADOS DE TIEMPO DE PROCESAMIENTO FUENTE:
AUTOR. 23
XII
Glosario
Administración de vulnerabilidades.
La práctica de identificar y eliminar debilidades que se pueden utilizar para poner en peligro la
confidencialidad, la integridad o la disponibilidad de los activos de información de un equipo.
La administración de una vulnerabilidad es una práctica de seguridad de información preventiva
que identifica y elimina las debilidades antes de que puedan utilizarse para poner en peligro los
activos de información de un equipo.
Administrador de usuarios.
Utilidad de Windows NT que permite a los usuarios con privilegios administrativos modificar
y definir cuentas de usuario y privilegios para una estación de trabajo local.
Advertencia.
Mensaje que comunica al usuario que una acción puede ocasionar u ocasionara la
pérdida de datos del sistema del usuario.
Adware.
Publicidad no Deseada.
Adware.
Es un paquete de software que facilita el envío de contenido publicitario al usuario.
Alarma.
Sonido o señal visual que se activa cuando se produce una condición de error.
Alerta.
Notificación automática de un suceso o un error.
Almacén de Certificados.
Base de datos que contiene los certificados de seguridad.
Amenaza.
Cosa o persona que constituye una posible causa de riesgo o perjuicio a alguien o algo.
Amenaza
Combinada. Las amenazas combinadas unen las características de los virus, gusanos,
caballos de Troya y códigos maliciosos con las vulnerabilidades del servidor y de
Internet para iniciar, transmitir y propagar un ataque. Mediante varios métodos y
técnicas, las amenazas combinadas pueden propagarse rápidamente y ocasionar daños
generalizados.
Amenaza
Estructurada. Persona o grupo de personas que se vale de una composición orgánica que
puede ser una amenaza para la organización. Esta persona tiene habilidades técnicas,
XIII
puede colaborar con otros y utilizar herramientas automatizadas siendo un punto a
resaltar su colaboración con técnicas especializadas.
Amenaza
Externa. Amenaza que se origina fuera de una organización.
Amenaza
Interna. Amenaza que se origina en una organización.
Amenaza
no estructurada. Amenaza que tiende a carecer de habilidades o sofisticaciones técnicas.
Analizador.
Herramienta de configuración automatizada que analiza una red en busca de sistemas
activos y actuá como guía durante el proceso de definición de los sistemas que desea
supervisar y de las firmas de ataques que desea asociar con cada sistema.
Antivirus.
Subcategoría de una política de seguridad relacionada con los virus informáticos.
Aplicaciones
Engañosas. Programas que brindan información falsa o lo suficientemente engañosa
acerca de la presencia de un riesgo a la seguridad, amenaza o problema en el sistema del
equipo que se esta analizando.
Arquitectura
de Seguridad. Conjunto de principios que describe los servicios de seguridad que debe
proporcionar un sistema para ajustarse a las necesidades de sus usuarios, los elementos
de sistema necesarios para implementar tales servicios y los niveles de rendimiento que
se necesitan en los elementos para hacer frente a las posibles amenazas.
Autenticación.
El proceso por el cual el usuario se identifica en forma inequívoca; es decir, sin duda o
equivocación de que es quien dice ser.
Cadena de Custodia.
Procedimiento destinado a garantizar la individualización, seguridad y preservación de
los elementos materiales y evidencias, recolectados de acuerdo a su naturaleza o
incorporados en toda investigación de un hecho punible, destinados a garantizar su
autenticidad, para los efectos del proceso, la protección, las actas, formularios y
embalajes forman parte de la cadena de custodia”.
Ciclo
de vida de la seguridad. Método para iniciar y mantener un plan de seguridad. Consiste
en la evaluación del riesgo de la empresa, la planificación de diversas formas de reducir
el riesgo de la empresa, la implementación del plan y la supervisión de la actividad
comercial para verificar que el plan redujo el riesgo.
XIV
Contención de la Amenaza.
Este parámetro indica que capacidad tiene la tecnología antivirus actual para impedir
que la amenaza se propague. Como norma general, las técnicas de virus antiguas suelen
detectarse con facilidad. Los nuevos tipos de amenazas o los virus muy complejos son
mucho mas difíciles de detectarse y, por lo tanto, son algo mas que una amenaza para la
comunidad de usuarios. Los valores posibles son fácil (la amenaza se detecta con
facilidad), moderado (la amenaza puede detectarse parcialmente) y difícil (la amenaza
no puede detectarse en la actualidad).
Contraseña.
Conjunto de datos que introduce un usuario como código de identificación para restringir
el acceso a equipos y archivos confidenciales. El sistema compara el código con una
lista de contraseñas y usuarios autorizados. Si el código es correcto, el sistema permite
el acceso en el nivel de seguridad aprobado para el propietario de la contraseña.
Creación
de Perfiles. Proceso para analizar una red en busca de sistemas activos que supervisar y
a los que asociar firmas de ataques.
Cuarentena.
Aislar archivos sospechosos de contener algún virus, de modo que no se pueden abrir ni
ejecutar. Symantec AntiVirus Corporate Edition detecta heurísticamente archivos
sospechosos e infectados con virus que no se pueden reparar con el conjunto actual de
definiciones de virus. Desde la cuarentena del equipo local, los archivos en cuarentena
se pueden reenviar a una cuarentena central en la red y remitir a Symantec Security
Response para su análisis. Si se detecta un nuevo virus, se devuelven automáticamente
las definiciones de virus actualizadas.
Cuenta
de Usuario. Archivo de Windows NT con información que identifica un usuario en
Windows NT. Se trata del nombre de usuario y la contraseña, grupos de los que es
miembro la cuenta de usuario, así como derechos y permisos que posee el usuario para
utilizar el sistema y acceder a sus recursos.
Detección.
Proceso mediante el cual un equipo intenta localizar otro equipo de la misma red o
dominio.
Detección
de Intrusos. Servicio de seguridad que supervisa y analiza los sucesos del sistema para
buscar y proporcionar advertencias de ataques en tiempo real o en tiempo casi real para
acceder a los recursos del sistema de manera no autorizada. Esta es la detección de
intrusiones o tentativas de intrusiones mediante el examen de registros u otra
información disponible en una red.
Encriptación.
Método de codificar o encriptar datos para evitar que usuarios no autorizados puedan
leerlos o alterarlos. Solo los usuarios con acceso a una contraseña o una clave podrán
XV
desencriptar y utilizar los datos. Estos datos pueden ser mensajes, archivos, carpetas o
discos.
Equipo de administración de riesgos.
Grupo de personas con diferentes vistas de una red: las personas que utilizan la red y las que
definen el propósito de la red. El equipo debe incluir a usuarios finales, administradores de
sistemas, encargados de la seguridad de los sistemas, ingenieros de sistemas y los propietarios
de los datos que residen en la red.
Evaluación de la amenaza.
La clasificación de la gravedad del virus, gusano o caballo de Troya. La evaluación de la
amenaza incluye los daños que esta causa, a que velocidad puede propagarse a otros equipos
(distribución) y hasta qué punto se ha propagado la infección, si se conoce, en el entorno.
Evaluación de medidas de seguridad.
Proceso que identifica las medidas de seguridad más adecuadas para la estrategia de reducción
de riesgos adoptada durante la fase de evaluación de riesgos.
Evaluación de riesgos.
Calculo de riesgos. El riesgo es una amenaza que explota alguna vulnerabilidad que puede
causar daño a un activo. El algoritmo de riesgos calcula los riesgos como una función de los
activos, las amenazas y vulnerabilidades. Un ejemplo de riesgo de un sistema se representa con
la formula (Activo * Amenaza* Vulnerabilidad). El riesgo total de una red es igual a la suma de
todos los ejemplos de riesgo.
Evaluación de vulnerabilidad.
Identificación y cuantificación de las vulnerabilidades técnicas y ambientales de un sistema.
Evaluación
predictiva de riesgos. Proceso que consta de la evaluación de riesgos, objetivos
empresariales, riesgo de objetivos empresariales, tareas empresariales, riesgo de tareas
empresariales y evaluación de impacto empresarial (BIA).
EXIF Exchangeable Image File Format
GPS
Global Positioning System , Sistema de Posicionamiento Global en español.
IPTC
International Press Telecomunication Council
IPTC-IIM
International Press Telecomunication Council - Information Interchange Model
JEITA
Japan Electronics and Information Technology industries Association
XVI
JFIF
JPEG File Interchange Format JPEG Joint Photographic Expert Group
MD5.
Una función hash, como MD5, es una operación unidireccional que transforma una
cadena de datos de cualquier longitud en otra cadena mas corta de longitud fija. El valor
resultante de dos cadenas de datos sometidas a un algoritmo hash nunca es el mismo. La
suma de comprobación de MD5 verifica la integridad de los datos al someterlos a un
algoritmo hash una vez que se reciben. El valor resultante se compara con el valor
obtenido por el algoritmo hash que se envía junto con los datos. Si ambos coinciden,
significa que los datos no han sufrido alteraciones ni manipulaciones y puede confiarse
en su integridad.
Medición de amenaza.
Medida cuantitativa de una amenaza. La medición del acceso físico, del acceso
electrónico, la capacidad, la motivación y la frecuencia de la amenaza determinan la
medición de la amenaza.
Medición de riesgos.
Medida cuantitativa de los riesgos. El producto de la medición de activos, de amenazas
y de vulnerabilidades, basado en algoritmos de probada eficacia.
Medición de Vulnerabilidades.
Medida cuantitativa de las vulnerabilidades. Symantec Risk Assessor mide todas las
vulnerabilidades mediante su exposición física o electrónica, daño potencial, antigüedad
e información.
Medida de seguridad.
Proceso, procedimiento, técnica o función destinada a mitigar los efectos del riesgo. Las
medidas de seguridad rara vez eliminan el riesgo, sino que lo reducen a un nivel
aceptable.
NAVSTAR
: Navigation System and Ranging - Global Position System.
Plan de copia de respaldo.
Grupo de parámetros que determina que equipo se debe incluir en una copia de respaldo, además
de otros datos como la planificación. política, método de acción seleccionado a partir de
alternativas, ciertas condiciones especificas para guiar y determinar decisiones presentes y
futuras.
PNG
Portable Network Graphics
XVII
PNU
Pixel Non-Uniformity
Respuesta
de seguridad. Proceso de búsqueda, creación, entrega y notificación de respuestas ante
amenazas de códigos maliciosos y víricos, y ante vulnerabilidades en la infraestructura
del sistemas operativo, la aplicación y la red. Véase también notificación.
Retrovirus.
Virus informático que ataca activamente a uno o mas programas antivirus para impedir
su detección.
Riesgo.
Amenaza que explota una vulnerabilidad que puede causar daño a uno o mas activos.
Rootkit.
Un rootkit es un componente que utiliza la ocultación para mantener una presencia
persistente y no detectable en el equipo. Las acciones realizadas por un rootkit, como la
instalación y cualquier forma de ejecución de código, se llevan a cabo sin el
consentimiento ni conocimiento del usuario final. Los rootkits no infectan los equipos
por si solos, como los virus o gusanos, sino que procuran ofrecer un entorno no
detectable para la ejecución de un código malicioso. Los atacantes normalmente se
aprovechan de las vulnerabilidades del equipo objetivo o utilizan técnicas de ingeniería
social para instalar los rootkits de forma manual. O, en algunos casos, se pueden instalar
automáticamente mediante la ejecución de un virus o gusano o tan solo navegando a un
sitio Web malicioso. Una vez instalado, un atacante puede realizar casi todas las
funciones en el sistema, como el acceso remoto, la interceptación furtiva, la ocultación
de procesos, archivos, claves de registro y canales de comunicación.
Sesiones
de ataque capturadas. Registro de cualquier sesión de red que contiene una firma de
ataque. Puede configurar NetProwler para capturar un registro de cualquier tipo de
ataque. Puede ver estas sesiones en la sección sesiones de ataque de la consola
NetProwler o la interfaz gráfica de usuario del agente.
Sistemas
afectados. Este parámetro se refiere a los sistemas operativos o las aplicaciones
vulnerables a una amenaza.
Sistemas
no afectados. Este parámetro se refiere a los sistemas operativos o las aplicaciones que
no son vulnerables a una amenaza. La lista de tales sistemas puede variar a medida que
haya mas información disponible sobre una amenaza en particular.
Spyware
XVIII
o Software Espía. El software espía consta de un paquete de software que realiza un
seguimiento y envía información confidencial o personal a terceros. La información
personal es información que puede atribuirse a una persona específica, como un nombre
completo. La información confidencial incluye datos que la mayoría de las personas no
desearía compartir con otras, como detalles bancarios, números de tarjetas de créditos y
contraseñas. Terceros puede hacer referencia a sistemas remotos o partes con acceso
local.
Virus
de macro. está escrito en un lenguaje macro. Es un virus que puede introducirse en todos
los tipos de archivos que emplean lenguaje macro, tales como Excel, Word y Access. Se
propaga desde un documento hasta otro, y el contagio ocurre cuando se abre el
documento.
Virus
encriptado. Virus que utiliza la encriptación para ocultarse de los escáneres de virus. Es
decir, el virus encriptado altera el código de programa para que no se pueda detectar.
Virus
Polimorfico. Virus que puede cambiar el patrón de bytes cuando se reproduce; así evita
su detección mediante técnicas sencillas de análisis de cadenas.
Vulnerabilidad.
Es el punto o puntos débiles de un sistema computacional donde su seguridad no tiene
defensas necesarias en caso de un ataque lo que lo se podría convertir en una amenaza
si se llegara a explotar.
TIFF
Tagged Image File Format
XML
Extensible Markup Language
XMP
Extensible Metadata Platform
XIX
Introducción
Actualmente en el mundo se vive una revolución tecnológica donde cada vez toma más
relevancia la información electrónica, esto sin duda nos ha llevado a incluir más regulaciones
sobre el uso de datos personales de cada individuo, es necesario regular quién y cómo se obtiene
esta información, cómo la manejan, el lucro de ésta información, todas y cada una de estas
formas nacientes en medios electrónicos y dispositivos como lo son tabletas, dispositivos
móviles, gadgets (dispositivo electrónico), esto nos lleva a la informática forense que surge
como necesidad de controlar e investigar los delitos e irregularidades lo que toma gran
relevancia con este trabajo de tesis dedicado a el análisis de imágenes, tomando en cuenta que
la gran mayoría de dispositivos y cámaras fotográficas o de video son digitales en la actualidad
teniendo muchos datos involucrados los cuales necesitamos validar para lograr resolver delitos
e irregularidades con los que se llegue a asociar algún tipo de dispositivo o imagen como
evidencia. El presente trabajo de tesis el diseño e implementación de un sistema de análisis
forense para imágenes el cual servirá para la verificación de evidencia forense, el cual los
proporcionara los medios para hallar cualquier tipo de aplicación o manipulación sobre
imágenes, se podrán hallar la Fuente del dispositivo y la marca de dónde fue tomada la
fotografía, en este caso nos enfocaremos a las imágenes desde su fuente de adquisición es decir
los metadatos contenidos en el archivo soportando diferentes extensiones siendo las más
comunes JPG-JPEG, GIF, TIF-TIFF, PNG.
Objetivo general
Diseñar e implementar un sistema que sirva para recopilar datos digitales con la finalidad de
analizar el contenido en la evidencia presentada, proporcionando las directrices para que
puedan ser presentados con los datos contenidos en un informe detallado. Así como
documentar el proceso de investigación y el razonamiento que da soporte a los sistemas
XX
forenses enfocados a el análisis de imágenes desde su fuente de adquisición.
Objetivos particulares
1. Establecer la necesidad del estudio forense de imágenes y elementos que se encuentra
involucrados en la adquisición y creación de imágenes.
2. Generar un sistema funcional que se alinee a los requerimientos de peritos forenses.
3. La presentación de la información debe ser sintetizada por parte del sistema.
4. La fácil operación e instalación del sistema de manera sencilla.
5. Una corta curva de aprendizaje para la implementación y el uso del software.
Justificación
El procesamiento de evidencias digitales son llevadas a cabo por sistemas complicados por su
sofisticación e integración con otras herramientas, lo que es referido en el entorno de la
informática como robusto debido a la complejidad en su manejo, además que se presentan
desventajas como su costo, por tal motivo el sistema desarrollado debe ser único buscando una
funcionalidad en el campo de la informática forense por su sencillez, en la práctica dentro de las
dependencias encargadas de llevar a cabo las pericias en muchas ocasiones los sistemas para el
proceso de evidencias son muy robustos lo que se convierte en una dificultad debido a que el
personal debe ser capacitado de una manera rigurosa y en la mayoría de los casos no se logra
tener al personal capacitado al cien por-ciento en un sistema sofisticado, lo que nos lleva a la
necesidad de acortar la curva de aprendizaje en el sistema y bajando considerablemente la
inversión necesaria ya que este trabajo será software libre (Urbina,Soto & Gonzaga, 2014).
Contribución
Se desarrollará una herramienta que hará posible procesar los metadatos contenidos en
imágenes, que generará un informe con estructura, sintetizado y digerible.
XXI
Estructura de la tesis • Capítulo 1: Introducción: Se plantea el problema, su situación y como se implementó
la solución de esta tesis. Los objetivos ya sea general o particulares que se crearon a lo
largo de este proyecto. Se analizan las investigaciones anteriores, tanto en el
procesamiento de imágenes como en su reconocimiento.
• Capítulo 2: Marco Contextual: informática forense. Se muestra un panorama general
de la seguridad informática
• Capítulo 3: Marco Teórico: metadatos. Se muestra un panorama general de la
información oculta en los archivos y su normativa
• Capítulo 4: Desarrollo del sistema SAFI. Se demuestra los algoritmos implicados que
se utilizan en esta tesis
• Pruebas, Resultados, y Conclusiones: Se analiza de forma personal si es factible para
seguir realizando investigaciones en él. El algoritmo tanto en el sistema como en sus
operaciones matemáticas tiene oportunidad de mejoras que en este capítulo se
mencionan.
• Bibliografía
Capítulo 1
1.Marco Contextual
Objetivo del capítulo: Al final de este capítulo el lector conocerá el entorno global de la
seguridad forense y la relación entre esta con la investigación en imágenes.
1.1. ¿Qué es seguridad informática?
Se puede entender como seguridad a aquella característica de cualquier sistema (informático o
no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta
manera, falible. Como esta característica, particularizando para el caso de sistemas operativos o
redes de computadores, es muy difícil de conseguir (según la mayoría de expertos, imposible),
se suaviza la definición de seguridad y se pasa a hablar de fiabilidad (probabilidad de que un
sistema se comporte tal y como se espera de él) más que de seguridad; por tanto, se habla de
sistemas fiables en lugar de hacerlo de sistemas seguros (Huerta,2018).
A grandes rasgos se entiende que mantener un sistema seguro (o fiable) consiste básicamente
en garantizar tres aspectos ( Pfleeger & Pfleeger, 1997): confidencialidad, integridad y
disponibilidad. En algunos estudios que se han realizado la seguridad se toma en cuenta como
una propiedad más general de los sistemas, la confiabilidad, entendida como el nivel de calidad
del servicio ofrecido. Consideran la disponibilidad como un aspecto al mismo nivel que la
seguridad y no como parte de ella, por lo que dividen esta última en sólo las dos facetas restantes,
confidencialidad e integridad. En este trabajo no seguiremos esa corriente por considerarla
minoritaria.
La confidencialidad nos dice que los objetos de un sistema han de ser accedidos únicamente por
elementos autorizados a ello, y que esos elementos autorizados no van a convertir esa
2
información en disponible para otras entidades; la integridad significa que los objetos sólo
pueden ser modificados por elementos autorizados, y de una manera controlada, y la
disponibilidad indica que los objetos del sistema tienen que permanecer accesibles a elementos
autorizados; es el contrario de la negación de servicio.
Generalmente tienen que existir los tres aspectos descritos para que haya seguridad: un sistema
puede conseguir confidencialidad para un determinado fichero haciendo que ningún usuario (ni
siquiera el root) pueda leerlo, pero este mecanismo no proporciona disponibilidad alguna.
Dependiendo del entorno en que un sistema trabaje, a sus responsables les interesará dar
prioridad a un cierto aspecto de la seguridad.
Por ejemplo, en un sistema militar se antepondrá la confidencialidad de los datos almacenados
o transmitidos sobre su disponibilidad: seguramente, es preferible que alguien borre información
confidencial (que se podría recuperar después desde una cinta de backup) a que ese mismo
atacante pueda leerla, o a que esa información esté disponible en un instante dado para los
usuarios autorizados.
En un entorno bancario, la faceta que más ha de preocupar a los responsables del sistema es la
integridad de los datos, frente a su disponibilidad o su confidencialidad: es menos grave que un
usuario consiga leer el saldo de otro que el hecho de que ese usuario pueda modificarlo.
1.1.1. ¿Qué queremos proteger?
Los tres elementos principales a proteger en cualquier sistema informático son el software, el
hardware y los datos. Por hardware entendemos el conjunto formado por todos los elementos
físicos de un sistema informático, como CPUs, terminales, cableado, medios de almacenamiento
secundario (cintas, CD-ROMs, diskettes...) o tarjetas de red.
Lo que conocemos por software es el conjunto de programas lógicos que hacen funcional al
hardware, tanto aplicaciones como en sistemas operativos, y por datos el conjunto de
información lógica que manejan el software y el hardware, como por ejemplo paquetes que
circulan por un cable de red o entradas de una base de datos.
3
Sin embargo por lo general en las auditorías de seguridad se habla de un cuarto elemento a
proteger, los consumibles (elementos que se gastan o desgastan con el uso continuo, como papel
de impresora, cartuchos, cintas magnéticas, diskettes...), aquí no consideraremos la seguridad
de estos elementos por ser externos al sistema.
Habitualmente los datos constituyen el principal elemento de los tres a proteger, ya que es el
más amenazado y seguramente el más difícil de recuperar: con toda seguridad una máquina está
ubicada en un lugar de acceso físico restringido, o al menos controlado, y además en caso de
pérdida de una aplicación este software se puede restaurar sin problemas desde su medio original
(por ejemplo, el CD-ROM con el sistema operativo que se utilizó para su instalación).
Sin embargo, en caso de pérdida de una base de datos o de un proyecto de un usuario, no tenemos
un medio “original" desde el que restaurar: hemos de pasar obligatoriamente por un sistema de
copias de seguridad, y a menos que la política de copias sea muy estricta, es difícil devolver los
datos al estado en que se encontraban antes de la pérdida.
Contra cualquiera de los tres elementos descritos anteriormente (pero principalmente sobre los
datos) se pueden realizar multitud de ataques o, dicho de otra forma, están expuestos a diferentes
amenazas. Generalmente, la taxonomía más elemental de estas amenazas las divide en cuatro
grandes grupos: interrupción, interceptación, modificación y fabricación. Un ataque se clasifica
como interrupción si hace que un objeto del sistema se pierda, quede inutilizable o no disponible.
Se tratará de una interceptación si un elemento no autorizado consigue un acceso a un
determinado objeto del sistema, y de una modificación si además de conseguir el acceso
consigue modificar el objeto; algunos autores consideran un caso especial de la modificación:
la destrucción, entendiéndola como una modificación que inutiliza al objeto afectado. Por
último, se dice que un ataque es una fabricación si se trata de una modificación destinada a
conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el objeto original
y el fabricado.
4
1.1.2. ¿De qué nos queremos proteger?
En la gran mayoría de publicaciones relativas a la seguridad informática en general, tarde o
temprano se intenta clasificar en grupos a los posibles elementos que pueden atacar nuestro
sistema.
Con frecuencia, especialmente en las obras menos técnicas y más orientadas a otros aspectos de
la seguridad, se suele identificar a los atacantes únicamente como personas; esto tiene sentido
si hablamos por ejemplo de responsabilidades por un delito informático.
Pero en este trabajo es preferible hablar de `elementos y no de personas: aunque a veces lo
olvidemos, nuestro sistema puede verse perjudicado por múltiples entidades aparte de humanos,
como por ejemplo programas, catástrofes naturales o, por qué no, fuerzas extraterrestres; si un
usuario pierde un trabajo importante a causa de un ataque, poco le importará que haya sido un
intruso, un gusano, un simple error del administrador.
En resumen, podemos observar las amenazas la figura 1 amenazas para la seguridad.
Figura 1 Amenazas para la seguridad Fuente: Autor
A continuación, se presenta una relación de los elementos que potencialmente pueden amenazar
a nuestro sistema.
A lo largo de este proyecto se profundizará en aspectos de algunos de los elementos presentados
aquí. Personas: No podernos engañarnos: la mayoría de ataques a nuestro sistema van a provenir
5
en última instancia de personas que, intencionada o inintencionadamente, pueden causarnos
enormes pérdidas.
Generalmente se tratará de piratas que intentan conseguir el máximo nivel de privilegio posible
aprovechando alguno (o algunos) de los riesgos lógicos de los que hablaremos a continuación,
especialmente agujeros del software. Pero con demasiada frecuencia se suele olvidar que los
piratas `clásicos"" no son los únicos que amenazan nuestros equipos: es especialmente
preocupante que mientras que hoy en día cualquier administrador preocupado por la seguridad
va a conseguir un sistema relativamente fiable de una forma lógica (permaneciendo atento a
vulnerabilidades de su software, restringiendo servicios, utilizando cifrado de datos...), pocos
administradores tienen en cuenta factores como la ingeniería social o el basureo a la hora de
diseñar una política de seguridad.
Aquí se describen brevemente los diferentes tipos de personas que de una u otra forma pueden
constituir un riesgo para nuestros sistemas; generalmente se dividen en dos grandes grupos: los
atacantes pasivos, aquellos que fisgonean por el sistema pero no lo modifican -o destruyen-, y
los activos, aquellos que dañan el objetivo atacado, o lo modifican en su favor.
Generalmente los curiosos y los crackers realizan ataques pasivos (que se pueden convertir en
activos), mientras que los terroristas y ex-empleados realizan ataques activos puros; los intrusos
remunerados suelen ser atacantes pasivos si nuestra red o equipo no es su objetivo, y activos en
caso contrario, y el personal realiza ambos tipos indistintamente, dependiendo de la situación
concreta. Se pueden clasificar en:
1. Personal: Las amenazas a la seguridad de un sistema provenientes del personal de la propia
organización rara vez son tomadas en cuenta; se presupone un entorno de confianza donde
a veces no existe, por lo que se pasa por alto el hecho de que casi cualquier persona de la
organización, incluso el personal ajeno a la infraestructura informática (secretariado,
personal de seguridad, personal de limpieza y mantenimiento...) puede comprometer la
seguridad de los equipos. Aunque los ataques pueden ser intencionados (en cuyo caso sus
efectos son extremadamente dañinos, recordemos que nadie mejor que el propio personal de
la organización conoce mejor los sistemas...y sus debilidades), lo normal es que más que de
6
ataques se trate de accidentes causados por un error o por desconocimiento de las normas
básicas de seguridad: un empleado de mantenimiento que corta el suministro eléctrico para
hacer una reparación puede llegar a ser tan peligroso como el más experto de los
administradores que se equivoca al teclear una orden y borra todos los sistemas de ficheros;
y en el primer caso, el `atacante"" ni siquiera ha de tener acceso lógico (ni físico) a los
equipos, ni conocer nada sobre seguridad.
2. Exempleados: Otro gran grupo de personas potencialmente interesadas en atacar nuestro
sistema son los antiguos empleados del mismo, especialmente los que no abandonaron el
entorno por voluntad propia (y en el caso de redes de empresas, los que pasaron a la
competencia). Generalmente, se trata de personas descontentas con la organización que
pueden aprovechar debilidades de un sistema que conocen perfectamente para dañarlo como
venganza por algún hecho que no consideran justo: amparados en excusas como ̀ No me han
pagado lo que me deben"" o `Es una gran universidad, se lo pueden permitir"" pueden
insertar troyanos, bombas lógicas, virus...o simplemente conectarse al sistema como si aún
trabajaran para la organización (muchas veces se mantienen las cuentas abiertas incluso
meses después de abandonar la universidad o empresa), conseguir el privilegio necesario, y
dañarlo de la forma que deseen, incluso chantajeando a sus ex-compañeros o ex-jefes.
3. Curiosos: Junto con los crackers, los curiosos son los atacantes más habituales de sistemas
en redes de I+D. Recordemos que los equipos están trabajando en entornos donde se forma
a futuros profesionales de la informática y las telecomunicaciones (gente que a priori tiene
interés por las nuevas tecnologías), y recordemos también que las personas suelen ser
curiosas por naturaleza; esta combinación produce una avalancha de estudiantes o personal
intentando conseguir mayor privilegio del que tienen o intentando acceder a sistemas a los
que oficialmente no tienen acceso. Y en la mayoría de ocasiones esto se hace simplemente
para leer el correo de un amigo, enterarse de cuánto cobra un compañero, copiar un trabajo
7
o comprobar que es posible romper la seguridad de un sistema concreto. Aunque en la
mayoría de situaciones se trata de ataques no destructivos (a excepción del borrado de
huellas para evitar la detección), parece claro que no benefician en absoluto al entorno de
fiabilidad que podamos generar en un determinado sistema.
4. Crackers Los entornos de seguridad media son un objetivo típico de los intrusos, ya sea para
fisgonear, para utilizarlas como enlace hacia otras redes o simplemente por diversión. Por
un lado, son redes generalmente abiertas, y la seguridad no es un factor tenido muy en cuenta
en ellas; por otro, el gran número y variedad de sistemas conectados a estas redes provoca,
casi por simple probabilidad, que al menos algunos de sus equipos (cuando no la mayoría)
sean vulnerables a problemas conocidos de antemano. De esta forma un atacante sólo ha de
utilizar un escáner de seguridad contra el dominio completo y luego atacar mediante un
simple exploit los equipos que presentan vulnerabilidades; esto convierte a las redes de I+D,
a las de empresas, o a las de ISPs en un objetivo fácil y apetecible para piratas con cualquier
nivel de conocimientos, desde los más novatos (y a veces más peligrosos) hasta los expertos,
que pueden utilizar toda la red para probar nuevos ataques o como nodo intermedio en un
ataque a otros organismos, con el consiguiente deterioro de imagen (y a veces de
presupuesto) que supone para una universidad ser, sin desearlo, un apoyo a los piratas que
atacan sistemas teóricamente más protegidos, como los militares.
5. Terroristas: Por ̀ terroristas"" no debemos entender simplemente a los que se dedican a poner
bombas o quemar autobuses; bajo esta definición se engloba a cualquier persona que ataca
al sistema simplemente por causar algún tipo de daño en él. Por ejemplo, alguien puede
intentar borrar las bases de datos de un partido político enemigo o destruir los sistemas de
ficheros de un servidor que alberga páginas web de algún grupo religioso; en el caso de redes
de I+D, típicos ataques son la destrucción de sistemas de prácticas o la modificación de
páginas web de algún departamento o de ciertos profesores, generalmente por parte de
alumnos descontentos.
8
6. Intrusos remunerados: Este es el grupo de atacantes de un sistema más peligroso, aunque
por fortuna el menos habitual en redes normales; suele afectar más a las grandes - muy
grandes - empresas o a organismos de defensa. Se trata de piratas con gran experiencia en
problemas de seguridad y un amplio conocimiento del sistema, que son pagados por una
tercera parte generalmente para robar secretos (el nuevo diseño de un procesador, una base
de datos de clientes, información confidencial sobre las posiciones de satélites espía...) o
simplemente para dañar la imagen de la entidad afectada. Esta tercera parte suele ser una
empresa de la competencia o un organismo de inteligencia, es decir, una organización que
puede permitirse un gran gasto en el ataque; de ahí su peligrosidad: se suele pagar bien a los
mejores piratas, y por si esto fuera poco los atacantes van a tener todos los medios necesarios
a su alcance.
7. Amenazas lógicas bajo la etiqueta de `amenazas lógicas"" encontramos todo tipo de
programas que de una forma u otra pueden dañar a nuestro sistema, creados de forma
intencionada para ello (software malicioso, también conocido como malware) o
simplemente por error (bugs o agujeros). Una excelente lectura que estudia las definiciones
de algunas de estas amenazas y su implicación en los sistemas se presenta en un nivel más
general, cabe aclarar que estas se engloban en una definición de malware proviene de una
agrupación de las palabras (malicious software); este programa o archivo, que es dañino
para el ordenador, está diseñado para insertar virus, gusanos, troyanos, spyware o incluso
los bots, intentando conseguir algún objetivo, como podría ser el de recoger información
sobre el usuario o sobre el ordenador en sí.
8. Puertas traseras Durante el desarrollo de aplicaciones grandes o de sistemas operativos es
habitual entre los programadores insertar `atajos"" en los sistemas habituales de
autenticación del programa o del núcleo que se está diseñando. A estos atajos se les
denomina puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar y
9
depurar fallos: por ejemplo, los diseñadores de un software de gestión de bases de datos en
el que para acceder a una tabla se necesiten cuatro claves diferentes de diez caracteres cada
una pueden insertar una rutina para conseguir ese acceso mediante una única clave
`especial"", con el objetivo de perder menos tiempo al depurar el sistema. Algunos
programadores pueden dejar estos atajos en las versiones definitivas de su software para
facilitar un mantenimiento posterior, para garantizar su propio acceso, o simplemente por
descuido; la cuestión es que si un atacante descubre una de estas puertas traseras (no nos
importa el método que utilice para hacerlo) va a tener un acceso global a datos que no debería
poder leer, lo que obviamente supone un grave peligro para la integridad de nuestro sistema.
9. Bombas lógicas: Las bombas lógicas son partes de código de ciertos programas que
permanecen sin realizar ninguna función hasta que son activadas; en ese punto, la función
que realizan no es la original del programa, sino que generalmente se trata de una acción
perjudicial. Los activadores más comunes de estas bombas lógicas pueden ser la ausencia o
presencia de ciertos ficheros, la ejecución bajo un determinado UID o la llegada de una fecha
concreta; cuando la bomba se activa va a poder realizar cualquier tarea que pueda realizar la
persona que ejecuta el programa: si las activa el root, o el programa que contiene la bomba
está setuidado a su nombre, los efectos obviamente pueden ser fatales.
10. Virus: Un virus es una secuencia de código que se inserta en un fichero ejecutable
(denominado huésped), de forma que cuando el archivo se ejecuta, el virus también lo hace,
insertándose a sí mismo en otros programas.
11. Gusanos: Un gusano es un programa capaz de ejecutarse y propagarse por sí mismo a través
de redes, en ocasiones portando virus o aprovechando bugs de los sistemas a los que conecta
para dañarlos. Al ser difíciles de programar su número no es muy elevado, pero el daño que
10
pueden causar es muy grande: el mayor incidente de seguridad en Internet fué precisamente
el Internet Worm, un gusano que en 1988 causó perdidas millonarias al infectar y detener
más de 6000 máquinas conectadas a la red. Hemos de pensar que un gusano puede
automatizar y ejecutar en unos segundos todos los pasos que seguiría un atacante humano
para acceder a nuestro sistema: mientras que una persona, por muchos conocimientos y
medios que posea, tardaría como mínimo horas en controlar nuestra red completa (un tiempo
más que razonable para detectarlo), un gusano puede hacer eso mismo en pocos minutos: de
ahí su enorme peligro y sus devastadores efectos.
12. Caballos de Troya: Los troyanos o caballos de Troya son instrucciones escondidas en un
programa de forma que éste parezca realizar las tareas que un usuario espera de él, pero que
realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el
conocimiento del usuario; como el Caballo de Troya de la mitología griega, al que deben su
nombre, ocultan su función real bajo la apariencia de un programa inofensivo que a primera
vista funciona correctamente. En la práctica la totalidad de los ataques, cuando un intruso
consigue el privilegio necesario en el sistema instala troyanos para ocultar su presencia o
para asegurarse la entrada en caso de ser descubierto: por ejemplo, es típico utilizar lo que
se denomina un rootkit, que no es más que un conjunto de versiones troyanas de ciertas
utilidades (netstat, ps, who...), para conseguir que cuando el administrador las ejecute no vea
la información relativa al atacante, como sus procesos o su conexión al sistema; otro
programa que se suele suplantar es login.
13. Spyware: Los programas espía o spyware son aplicaciones que recopilan información sobre
una persona u organización sin su conocimiento. La función más común que tienen estos
programas es la de recopilar información sobre el usuario y distribuirlo a empresas
publicitarias u otras organizaciones interesadas, pero también se han empleado en círculos
legales para recopilar información contra sospechosos de delitos, como en el caso de la
11
piratería de software. Además, pueden servir para enviar a los usuarios a sitios de Internet
que tienen la imagen corporativa de otros, con el objetivo de obtener información
importante. Recolectan información proveniente del teclado de la víctima, descubriendo
contraseñas e información valiosa para cualquier atacante.
14. Adware: El adware es software que durante su funcionamiento despliega publicidad de
distintos productos o servicios. Estas aplicaciones incluyen código adicional que muestra la
publicidad en ventanas emergentes o a través de una barra que aparece en la pantalla. Esta
práctica se utiliza para subvencionar económicamente la aplicación, permitiendo que el
usuario la obtenga por un precio más bajo e incluso gratis y, por supuesto, puede
proporcionar al programador un beneficio, que ayuda a motivarlo para escribir, mantener y
actualizar un programa valioso. Se carga generalmente con nuestro permiso.
15. Spoofing Uo de técnicas de suplantación de identidad generalmente con usos maliciosos o
de investigación. Existen diferentes tipos de spoofing dependiendo de la tecnología a la que
nos refiramos, los cuales se describirán más adelante, como el IP spoofing (quizás el más
conocido), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing, aunque en
general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de
sufrir suplantaciones de identidad.
16. Phishing: Un de un tipo de ingeniería social y spoofing, caracterizado por intentar adquirir
información confidencial de forma fraudulenta, como puede ser una contraseña o
información detallada sobre tarjetas de crédito u otra información bancaria. El estafador,
mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una
aparente comunicación oficial electrónica, por lo común un correo electrónico o algún
sistema de mensajería instantánea.
12
17. Spam: Son mensajes no solicitados, habitualmente de tipo publicitario, enviados en
cantidades masivas. Aunque se puede hacer por distintas vías, la más utilizada entre el
público en general es la basada en el correo electrónico. Otras tecnologías de internet que
han sido objeto de spam incluyen grupos de noticias usenet, motores de búsqueda, wikis y
blogs. El spam también puede tener como objetivo los teléfonos móviles (a través de
mensajes de texto) y los sistemas de mensajería instantánea.
18. Exploits: Es un programa o técnica (del inglés to exploit, explotar, aprovechar) que
aprovecha una vulnerabilidad. Los exploits dependen de los S.O y sus configuraciones, del
as configuraciones de los programas que se están ejecutando y de la LAN donde están. Los
exploits se pueden caracterizar según las categorías de vulnerabilidades utilizadas:
a) Vulnerabilidades de desbordamiento de buffer.
b) Vulnerabilidades de condición de carrera (race condition).
c) Vulnerabilidades de error de formato de cadena (format string bugs). 4
d) Vulnerabilidades de Cross Site Scripting (XSS). 5
e) Vulnerabilidades de Inyección SQL. 6
f) Vulnerabilidades de Inyección de Caracteres (CRLF).
g) Vulnerabilidades de denegación del servicio
h) Vulnerabilidades de Inyección múltiple HTML (Multiple HTML Injection).
i) Vulnerabilidades de ventanas enganosas o mistificación de ventanas (Window
Spoofing). (Zuccardi, & Gutierrez, 2015).
1.2. Importancia de la informática forense
Teniendo en cuenta que hoy en día la mayoría de la población mundial se ve obligada a mantener
contacto con algún tipo de dispositivo que utiliza información digital ya sea por necesidad o por
13
la falta de opción ante el cambio tecnológico, como lo son las personas que tienen que hacer
pagos forzosamente a través de un portal electrónico, aunado a los diferentes medios de difusión
que están cambiando en su día a día forzándose el consumo directo o indirecto de los medios
digitales. Un claro con la población de la república mexicana con un 78.6% de las viviendas con
acceso a telefonía móvil.
También se pueden encontrar diferentes compañías privadas y públicas que realizan
estadísticas en la creciente demanda de tecnología alrededor del mundo mostrando que
afectara severamente la forma en la cual nos relacionamos al utilizar los dispositivos un
ejemplo se muestra en la (figura 2) Informe distendía.
Figura 2 Informe distendía: Mobile en España y en el Mundo 2017 Fuente: (Distendía, 2017).
“Estos datos de penetración móvil ponen de manifiesto que el móvil ya es un dispositivo habitual
y necesario para casi la totalidad de la población. Su uso para acceder a internet no ha dejado de
aumentar desde 2009, cuando solo un 0,7% del tráfico de la web procedía de móviles. En 2015
un 33,4% del tráfico de internet ya venía de smartphones y se espera que en 2016 éste aumente
hasta un 38,6%.” (Distendía, 2017).
La informática forense se encuentra como una necesidad de primera mano que se debe tratar
con suma importancia ya que cada vez hay más agencias y empresas de informática forense que
ofrecen sus servicios con el fin de cubrir con las necesidades de investigación, estas necesidades
14
crecerán a razón del avance tecnológico que se tenga en la actualidad. Poco a poco los crímenes
informáticos, su prevención, y procesamiento se vuelven cada vez más importante.
La informática forense tiene objetivos bien delimitados para su fin único como una disciplina
auxiliar en los procesos judiciales, los principales objetivos son los siguientes:
1. El resarcimiento del perjuicio que el criminal en cuestión generó.
2. La persecución y procesamiento judicial del criminal para ejercer justicia en los individuos
involucrados.
3. La creación y aplicación de medidas para prevenir casos similares con la finalidad de
garantizar la seguridad y protección de la población mundial expuesta.
Los diferentes departamentos de justicia alrededor del mundo tienen el reto de adaptarse al
cambio que implica el uso de tecnología digital ya que están naciendo en diferentes países
departamentos especializados. A continuación, se enlistan las principales dependencias
gubernamentales que ejercen la informática forense. En México la Comisión Nacional de
Seguridad es quien, a nivel federal, puede recibir denuncias de incidentes informáticos
(Distendía, 2017).
1.2.1. Importancia de la recolección de evidencia
La recolección y procesamiento de la evidencia es primordial dentro de la informática forense,
de hecho, “la IOCE (International Organization On Computer Evidence) define cinco puntos
como los principios para el manejo y recolección de evidencia computacional:
1. Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar por ningún
motivo esta evidencia.
2. Cuando es necesario que una persona tenga acceso a evidencia digital original, esa persona
debe ser un profesional forense.
3. Toda la actividad referente a la recolección, el acceso, almacenamiento o a la transferencia
de la evidencia digital, debe ser documentada completamente, preservada y disponible para
la revisión.
15
4. Un individuo es responsable de todas las acciones tomadas con respecto a la evidencia digital
mientras que ésta esté en su posesión.
5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar o transferir
evidencia digital es responsable de cumplir con estos principios.
He aquí la importancia del delicado procesamiento que se le debe dar a la recolección de
evidencia así mismo se refleja lo indispensable que resulta la informática forense para las
diferentes instituciones de justicia alrededor del mundo. Es trascendental la implementación de
nuevas herramientas que garantice la legitimidad de la evidencia informática, una opción viable
es la que ofrece la presente investigación con la aplicación de metadatos para este objetivo
(Casey,2011).
Sin embargo, también hay sugerencias de metodología a usar para llevar acabo un marco de
actuación estándar la variedad de tecnología y supuestos crece con el desarrollo tecnológico.
Cada metodología contiene sus ventajas y desventajas aun así las diferencias entre ellas no distan
demasiado entre ellas, en algunos casos solo varían las actividades que se llevan a cabo un
modelo que vale la pena mencionar:
Identificación del incidente:
Se inicia por la certeza de acceso a cualquier medio digital, basta con tener indicios suficientes
para identificar que sucedió un incidente. Este primer paso no se considera dentro del campo de
la informática forense, pero es relevante con los pasos siguientes.
Preparación del análisis:
Se determinan las diligencias necesarias para realizar las intromisiones, monitoreos y
búsquedas, así como preparar las herramientas y técnicas con las que se pretende realizar el
peritaje forense.
Estrategia de aproximación:
Es donde se define una estrategia en la cual dependiendo de la situación y la tecnología con al
16
cual se esté trabajando sea ágil la definición de fuentes, evidencias y procedimientos, tomando
en cuenta causar el menor impacto sobre los usuarios del medio digital sobre el cual se está
realizando la investigación forense. La estrategia definida tendrá como objetivo el
levantamiento de evidencias digitales sin tener ausencia de información; que no haya sufrido
alteraciones ni perdidas de información después del incidente digital al mismo tiempo buscando
minimizar el impacto sobre las victimas que ya hayan sido afectadas.
Preservación
de las evidencias: La preservación tiene como objetivo el preservar, aislar y asegurar las
evidencias desde su contenido físico asi como su contenido digital. La evidencia deberá
permanecer encendida para realizar una copia de seguridad, se debe de aislar de las
diferentes radiofrecuencias a el dispositivo como pueden ser WIFI, GPS, RFID,
Bluetooth y otras señales de RF. En este caso suelen usarse bolsas Faraday que aíslan el
dispositivo, la imanen de la bolsa Faraday se puede observar en la figura.
Figura 3 Bolsa Faraday. Fuente: sitio de internet https://www.division-forense.com/bolsa-faraday.html
Recopilación de evidencias:
Se debe llevar acabo el duplicado de las evidencias, así como la documentación de cada de la
17
escena del crimen con grabadoras digitales con procedimientos que hayan sido estandarizados,
de forma que las partes encargadas de dar juicio a la investigación tengan plena confianza en el
proceso y cumplan con los requisitos exigidos por parte de las autoridades competentes.
Examen:
Se refiere a la búsqueda de información sistemática con la evidencia encontrada como
lo son contraseña, vínculos, historial, registros del sistema. Es necesario establecer un
orden cronológico de los hechos para reconstruir la relevancia de la evidencia conforme
al tiempo.
Análisis:
Se jerarquiza cada una de las evidencias para reconstruir con fragmentos o información
utilizada conclusiones basadas en evidencias esto pude involucrar a más áreas según sea
el caso para establecer conclusiones basadas en evidencia.
Presentación:
Se trata de entregar un reporte pericial el cual detalla el proceso realizado y los resultados
obtenidos con un enfoque técnico, sin dejar a dudas la veracidad de los resultados esto
con el fin que puedan ser objeto del escrutinio público y no generar ambigüedades en su
interpretación. También se deben tomar en cuenta un informe realizado en lenguaje
coloquial para las partes revisoras del reporte que no cuenten con capacitación técnica.
Devolución
de las evidencias: Se busca que al hacer la devolución de la evidencia no se genere daño
alguno en los dispositivos, los objetos de análisis o al menos generar el menor impacto
posible. También se debe tomar en cuenta que muchas veces es necesario realizar la
devolución de la evidencia en caso de ser parte fundamental en la producción o en la
ejecución de alguna tarea trascendental como lo podrían ser registros o servidores.
Almacenamiento
seguro e inalterable: Se necesita tener la validez de que la cadena de custodia garantice
18
que durante el periodo en el cual la evidencia estuvo bajo la tutela del perito forense no
se encontró con alteraciones o modificaciones, así como la seguridad de que no fue
alterada por entes internos o externos.
1.2.2. Usos de la Informática Forense
Los usos de la informática forense son muchos y variados, están orientados al marco legal pero
también es un hecho que, dado el crecimiento y alcance de las diferentes tecnologías de la
información su alcance se hace cada vez más y más amplio al igual que las vulnerabilidades de
estas mismas tecnologías.
Las vulnerabilidades son proporcionales a las variadas tecnologías de la información y estas
suelen ser utilizadas por personas malintencionadas que las utilizan para obtener diferentes
beneficios propios. Algunos de los usos más frecuentes surgen durante el seguimiento de un
caso criminal de cualquier índole, litigación civil, investigación de seguros, seguimiento de
temas corporativos o institucionales e impartición y mantenimiento de la ley por mencionar
algunos.
La recuperación de la información es clave en la ejecución de la informática forense y es el
principal objetivo de esta, donde el forense informático trabajará en obtener evidencias que
aporten pruebas que contribuyan en un determinado proceso o investigación judicial,
información que será decisiva, sin embargo, será fundamental que estas pruebas sean legitimas
dado que el uso la información recuperada se puede utilizar para reconstruir los hechos y con
esto determinar si se trata o no de un crimen.
Un aspecto importante surge cuando se presenta la necesidad de validar información sobre
imágenes y vídeo consideradas como evidencia de un caso en particular, se podría incluir en la
investigación o proceso si y solo si la fotografía (imagen digital) no muestra alteraciones y
muestra dónde y por qué usuario fue tomada, sin embargo dicha evidencia pudo ser alterada
intencionalmente para ocultar ,distorsionar o desviar la información verdaderamente útil por lo
que también se tiene la posibilidad mostrar al usuario que la altero, qué equipo la modifico y la
19
hora de dicha modificación. Todo dependerá del objetivo que se está persiguiendo al momento
de la investigación.
1.2.3. Desafíos del informático Forense
Uno de los principales desafíos al momento de procesar una evidencia es tener en cuenta que
elementos de la evidencia se analizaran, esto se debe ya que al momento de realizar un análisis
se hace con base a una orden por alguna área adyacente del perito en informática, se debe poner
especial cuidado en el requerimiento especifico ya que está en juego que la evidencia sea válida
o invalida. Debido a que la defensa también tiene acceso a la información y a los informes
generados por el perito en informática.
Por ejemplo: Si el requerimiento por parte del investigador es hacer un análisis de las imágenes
que se encuentran en el dispositivo móvil y donde fueron realizadas las fotos.
Y el informático Forense realiza el análisis, pero agrega dentro de su reporte un listado de los
usuarios que han utilizado el dispositivo. Podría darse el caso que la evidencia sea desechada ya
que el dispositivo no se encuentra vinculado con el presunto culpable por lo que la defensa
desligaría el dispositivo del sospechoso.
Esto podría parecer que hace abrir un debate ético sin embargo en defensa del perito en
informática y los procedimientos marcados por las diferentes dependencias encargados de dictar
orden debido a que en primera instancia podrían derivarse dos casos el primero sería que se
encontró al sospechoso en posesión del dispositivo.
Y la segunda es que el que el usuario no sea vinculante con el sospechoso no lo exime de haber
cometido un ilícito sobre el contenido de este dispositivo.
Es por eso por lo que el trabajo del perito en informática se dice que es transparente ya que no
se emite un juicio de si el sospechoso es culpable o no lo es, solo se realiza un análisis en donde
se analiza la información que se ha otorgado realizando un informe con los resultados de esa
información el contenido que se encuentra en cada una de las pericias realizadas.
20
1.3. Necesidad de analizar los metadatos
Las principales razones para que sea necesario el análisis forense de imágenes digitales es el
aumento en los dispositivos electrónicos, así como smartphone Tablet y la tecnología que se
encuentra disponible actualmente, esto ha contribuido a desarrollar un perfil el cual le llamamos
forense informático, el cual se encarga de garantizar que las evidencias recolectadas pueden ser
utilizadas en una investigación dentro de un contexto legal.
se debe de tomar en cuenta que las imágenes pueden ser utilizadas para responsabilizar para
deslindar alguien dentro de algún caso de carácter administrativo, penal o civil, esto aquí de
relevancia para determinar el origen y la autenticidad de los archivos, con el fin de vincular a
un individuo con algún archivo, dispositivo, lugar o algún acto de cualquier carácter con lo
anterior nos referimos que puede ser incriminatorio simplemente determinar que se encontró en
ese lugar al momento del evento.
Si aparte se toma en cuenta que ya existen diferentes herramientas para la manipulación de
archivos con metadatos con demasiadas aplicaciones para poder modificar de manera dolosa
algún archivo intentando confundir eludir algún análisis referente a los metadatos contenidos
dentro de la evidencia, es necesario tener la cual nos permita realizar un análisis de la imagen
de manera minuciosa.
En este caso el gran reto al que se enfrenta el analista forense es principalmente en determinar
el origen del archivo digital, principalmente identificar la marca, modelo y dispositivo con el
cual fue generada la fotografía.
En este trabajo de tesis se pretende contar con el desarrollo de una aplicación la informática
forense con el objetivo de identificar la evidencia a partir de la adquisición de la evidencia en
imágenes con diferentes formatos.
Para ello tenemos qué enfocarnos en qué es seguridad informática como punto inicial. Es una
21
de las ramas más significativas dentro de la informática ya que nos provee de elementos para
determinar delitos informáticos o ciber crimen, estos pueden derivar en el uso indebido o mal
procesamiento de la información. Hoy en día esta rama ha crecido significativamente ya que
todos los medios digitales que son procesados van plagados de información que puede ser
analizada, el objetivo de la informática forense es llevar a cabo la investigación de un crimen
mediante el uso de pruebas a partir de datos digitales.
De acuerdo con el FBI, la informática (o computación) forense es la ciencia de adquirir,
preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en
un medio computacional. La informática forense es, para enfrentar los desafíos y técnicas de los
intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital.
Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley
empezaron a desarrollar programas para examinar evidencia computacional (Cabrera, 2011).
1.3.1. Dificultades al presentar un informe forense
Las diferentes dificultades al presentar un informe forense son variadas debido a que hay que
tomar en cuenta que el informe debe ser entendible para más personas que no siempre son
personal con capacitación técnica o conocimientos informáticos. Por lo general se deben de
especificar en un informe que describa el contenido de la evidencia con la hora el contenido
encontrado así las especificaciones del dispositivo. En la Tabla 1 informe PDI se puede apreciar
un informe, el cual se maneja en la Policía de Investigación de Chile (PDI) donde se describe el
contenido, No. de serie, y hash, sin embargo, en la descripción no se tienen argumentos o
interpretaciones sobre los datos en cuanto al contenido. El perito en informática no puede hacer
una conclusión sobre la intención de los datos sin embargo escribe una breve sobre los datos
contenidos en el dispositivo.
22
Tabla 1.-Informe Penderive No. 59337 de la policía de investigación de Chile (PDI).
1.4. Marco Jurídico
El marco jurídico por el cual se tipifican los Delitos Informáticos en algunos países en
Latinoamérica.
Penderive No. 59337
Capacidad 8GB
HASH 61A2D791A48DA5651A11C333219CFA3D63CA8468Q
Contenido 54654984256.JPG, 56468468.JPG, 454546684.JPG
METADATOS 54654984256.JPG
ImageWidth 3264
ImageHeight 1836
Make Samsung
Model SM-G531H
Orientation Rotate 90 CW
XResolution 72
YResolution 72
METADATOS 56468468.JPG
ImageWidth 3300
ImageHeight 1800
Make Samsung
Model SM-G531H
Orientation Rotate 180 CW
XResolution 90
YResolution 90
METADATOS 454546684.JPG
ImageWidth 3300
ImageHeight 1800
Make Samsung
Model SM-G531H
Orientation Rotate 180 CW
XResolution 63
YResolution 63
23
• México
Reforma 75 del Código Penal Federal (1999)
Mediante reformas se crearon en el Código Penal Federal, los artículos 211 bis 1 al 211 bis 7,
que buscaron tipificar los delitos informáticos clásicos teniendo en consideración la fecha de su
incorporación. Se destaca la diferente que atentan contra los sistemas de cómputo que pueden o
no, ser parte del sector financiero mexicano. Es importante destacar, que algunos Estados
Mexicanos tienen además sus propias normas penales, incorporando otros delitos informáticos
no analizados en este trabajo.
• Chile
Ley 19.223 (1993), Ley 20.009 (2005), Ley 18.168 (2002)
La Ley 19.223 es una ley “Relativa a Delitos Informáticos” de acuerdo a su propio título, donde
regula cuatro artículos, desde los cuáles se tipifican varios delitos informáticos. La Ley 20.009
regula la responsabilidad para el caso de robo, hurto o extravío de tarjetas de crédito, en cuyo
texto se sancionan algunas conductas relacionadas con estos aspectos. La Ley 18.168
(modificada por diferentes normativas) regula de manera general las telecomunicaciones,
incorporando algunos tipos penales sobre la interferencia o captación ilegítima de señales de
comunicación.
• Colombia
Ley 1.273 (2009), Ley 1366 (2009)
La ley 1.273, de reciente sanción legislativa (año 2009), modifica el Código Penal, creando un
nuevo bien jurídico tutelado denominado "de la protección de la información y de los datos”.
Se afirma que dicha normativa busca preservar integralmente los sistemas que utilicen las
tecnologías de la información y las comunicaciones. A través de esta incorporación, suma el
CAPITULO I, titulado "De los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos", a partir del cuál regula una serie de
artículos penales que van desde el artículo 269A hasta el artículo 269J. Adicionalmente se
incorpora el artículo 58, considerando como agravante general “si la realización de alguna de
las conductas punibles, se realicen utilizando medios informáticos, electrónicos o telemáticos”.
24
• Brasil
Ley 12.737 (2012), Ley 11.829 (2008)
La Ley 12.737 es una ley reciente (año 2012), en la cuál se dispone la tipificación criminal de
los delitos informáticos y otras providencias. En su regulación incorpora modificaciones para
los artículos 154-A, 154-B, 266 y 298. Por su parte, la Ley 11.829 regula el Estatuto de la Niñez
y la Adolescencia, para mejorar la lucha contra la producción, venta y distribución de
pornografía infantil, así como tipificar como delito la adquisición y posesión de dicho material
y otros comportamientos relacionados con la pedofilia en Internet.
La tabla 2 muestra los principales delitos informáticos de México, Chile y Brasil.
Tabla 2.-Principales delitos informáticos de México, Chile, Brasil Fuente:Sitio de internet.
En México la PGJ tiene las siguientes especialidades forenses para el procesamiento de
información referente a delitos informáticos.
• INFORMÁTICA FORENSE: Especialidad que se encarga de examinar el contenido de un
medio de almacenamiento de información digital, escribiendo sus características y
funcionamiento.
• FOTOGRAFÍA FORENSE: Especialidad que se encarga de realizar la fijación
metodológica de indicios, objetos, lugares, personas y todo aquello que pudiese tener
relación con el hecho que se investiga.
• . TELEFONÍA CELULAR: Especialidad que se encarga de determinar las llamadas
entrantes en un teléfono celular, precisando número, fecha y hora.
• VIDEO: Especialidad que se encarga de analizar la edición de videograbaciones
(Procuraduria General de Justicia, 2016)
• Estructura orgánica de laboratorio donde se llevaron a cabo investigación con
colaboración de las diferentes secciones de pericia es la siguiente (Figura 4)
25
Figura 4 Estructura Orgánica interna PDI Fuente: Policía de investigación de Chile(2017)
1.5. Anomalías en el Seguimiento de EXIF en el Análisis Forense de Metadatos
de Imágenes de Móviles
Según canalys estimates (Figura 5) en la actualidad, y desde hace aproximadamente diez años,
el empleo de dispositivos móviles se ha incrementado notablemente. “El uso de sistemas de
telecomunicaciones móviles en todo el mundo ha llegado a proporciones casi epidémicas”,
principalmente por su facilidad de uso y la propiedad de mantener en contacto permanente a sus
usuarios, por lo cual se ha generado un cambio significativo en la forma en que las personas se
comunican, pero también por su proliferación se ha incrementado su uso en actividades de orden
delictivo. Existe gran variedad de gamas de dispositivos móviles, dentro de los cuales el mayor
crecimiento en popularidad y uso se presenta en los dispositivos móviles inteligentes, debido a
su capacidad tanto para realizar llamadas como para navegar por Internet con el objetivo de
intercambiar información a través de diferentes enlaces y además porque permiten desarrollar y
ejecutar aplicaciones que no necesariamente son incluidas por el fabricante. Canalys, empresa
que realiza análisis expertos de la industria de alta tecnología, realiza anualmente una
investigación acerca del estado del mercado de los dispositivos móviles inteligentes. En los dos
últimos años (2007-2008) se ha presentado el mayor crecimiento en el uso de estos dispositivos
comparándolo con años anteriores. Las investigaciones indican que en el 2007 los teléfonos
móviles inteligentes representaron el 10% del mercado mundial de telefonía móvil por unidades,
26
con un crecimiento anual del 60%, siendo así, uno de los segmentos de más rápido crecimiento
en la industria de la tecnología.
Figura 5 Estado del Mercado Mundial de Dispositivos Móviles 2006-2007.
Hoy en día el número de cámaras fotográficas integradas en dispositivos móviles crece a un
ritmo imparable, haciendo necesario el uso de técnicas de análisis forense específicas para las
imágenes generadas por este tipo de dispositivos, dada la singularidad de los mismos. La
mayoría de estos dispositivos insertan metadatos Exif en el proceso de adquisición de la imagen
y aun siendo estos fácilmente vulnerables a distintos tipos de modificaciones, son de gran ayuda
para una gran variedad de técnicas de análisis forense.
Teniendo todo esto en cuenta, se estima necesario la existencia de herramientas eficaces y
robustas, que permitan la extracción de los metadatos de una forma veraz y consistente.
Igualmente, esta extracción de metadatos no debe manipular en ningún momento la imagen y
requiere tener en cuenta posibles violaciones de la especificación Exif, tanto en la inserción de
los metadatos en el proceso de adquisición de la imagen por parte de los fabricantes, como por
parte de cualquier modificación, ya sea malintencionada o no.
En este artículo se muestran anomalías en el seguimiento de la especificación Exif, lo que puede
producir graves problemas en la extracción de los metadatos de las imágenes por medio de
aplicaciones, asi como problemas de interoperabilidad entre distintos dispositivos. Asimismo,
se muestran anomalías en el funcionamiento de diversas herramientas forenses.
27
1.5.1. Metodología para el desarrollo de procedimientos periciales en el ámbito de
la informática forense
La informática forense Es una rama de la informática reciente que tiene como objetivo la
investigación de hechos con relevancia jurídica temas informáticos y que surgió en Estados
Unidos en la década de los 80s pesaron a ser reconocido ciertos delitos informáticos, como el
Sabotaje de los propios sistemas. Desde entonces y con motivo de los avances de la tecnología,
posibilidades para romper la ley aumentado, incrementando cada vez más la popularidad de esta
disciplina.
Este trabajo fin de grado el desarrollo de una metodología que abarca el proceso completó
llevando a cabo durante un análisis forense, desde la obtención de las evidencias que serán
sometidas a análisis, hasta su fin, plasmándose los resultados obtenidos en el correspondiente
informe pericial (Tocados Cano, 2015).
1.5.2. Cyber Forensics
En el presente trabajo se discuten algunos de los requerimientos y desafíos militares en el
contexto del “Cyber Forensics”. Presenta una definición de Cyber Forensics en el contexto
militar. Se comenta las capacidades necesarias para el desempeño de análisis forense en un
ambiente interconectado por una red. Para finalizar se presenta una manera en la cual las
tecnologías pueden ser utilizadas en el entorno legal, así como en la industria.
La manera común en que se ve la disciplina de Análisis Forense está relacionada con el mundo
legal, en donde la mayor parte del esfuerzo ha sido dedicado al estudio y creación de
herramientas que asistan el trabajo de la policía, orientado principalmente al proceso “post-
mortem”, más que a un análisis en línea (Marcella Jr & Menendez, 2007).
1.5.3. Análisis forense de imágenes mediante el uso de metadatos
Los metadatos no son algo nuevo, antes de la aparición de Internet ya se han utilizado, de hecho,
los propios registros en formato MARC los podemos considerar metadatos, al codificar los
28
elementos descriptivos y organizativos que informan sobre un documento, esto es normalizar la
información de forma que se pueda recuperar de una forma organizada.
Pero es en los últimos años es donde los metadatos han tenido un papel fundamental para
posibilitar la interoperatividad entre los diferentes sistemas. En realidad, se trata de establecer
una semántica capaz de operar y recuperar la información existente en la red, son más ágiles
que los estándares tradicionales para describir la información que contiene un documento y
sobre todo pensando en los objetos dispuestos en red que aparecen y desaparecen de una forma
muy rápida.
En este sentido empezaron a aparecer esquemas sencillos de metadatos que contenían varios
campos de descripción, sistemas sencillos que no requieran demasiado esfuerzo en la
capacitación profesional y en la catalogación de las páginas, objetos, dispuestos en la red, por
lo que los propios creadores de la información a la vez son los que disponen la meta-
información.
los datos describen el mundo real y son un modelo de la realidad; los metadatos describen los
datos y se utilizan para tomar decisiones acerca de los mismos. Los metadatos constituyen la
información, en forma de documentación que permite que los datos sean bien entendidos,
compartidos y explotados de manera eficaz por todo tipo de usuarios a lo largo del tiempo. Se
utilizan para poder identificar, acceder y usar los datos.
En este contexto, podemos definir dos categorías de metadatos:
1. Descriptivos: describen e identifican los recursos de información para su posterior búsqueda
y recuperación, así como la localización cuando se trata de un entorno web. En esta categoría
se encuentran el formato MARC y Dublin Core.
2. Estructurales: facilitan la navegación y presentación de los recursos electrónicos
proporcionando información sobre la estructura interna de los mismos, y la relación y unión
entre los diferentes materiales que forman el objeto digital. Ejemplos de esta clasificación
son SGML, XML, EAD.
29
De estas categorías nos centraremos en los de metadatos descriptivos Dublin Core Metadata
Initiative (DCMI) y en los metadatos estructurales Extensible Markup Language (XML).
Actualmente el número de cámaras fotográficas en dispositivos móviles crece a un ritmo
imparable. Asimismo, la calidad y prestaciones de las mismas hacen que sean de uso común,
desbancando poco a poco a las Cámaras fotográficas digitales (Bray, Paoli,Sperberg-McQueen,
Maler & Yergeau, 1997). Este escenario produce que el análisis forense de este tipo de imágenes
cobre especial importancia y sea necesario y útil en multitud de situaciones (pruebas en casos
judiciales, espionaje industrial, privación de la libertad de prensa, pederastia, etc). Dentro de las
diversas ramas del análisis forense, este trabajo se centra en la adquisición de la fuente que
produjo la imagen.
Para ello se ha desarrollado una técnica que a partir de los metadatos EXIF, permite en ciertos
casos la obtención de la fuente (marca y modelo) con la que se realizó la fotografía. Asimismo,
se ha desarrollado una herramienta de ayuda al analista forense que permite diversas funciones
complejas que ayudan al analista forense, como son los distintos tipos de consultas avanzadas
sobre la información de los metadatos Exif de grandes conjuntos de imágenes o funciones de
geoposicionamiento (Dublin Core Metadata & others, 2004).
1.5.4. Aplicación de la técnica error level analysis y metadatos para el estudio
forense de imágenes producidas por dispositivos móviles
La técnica ELA en el estudio forense de imágenes producidas por dispositivos móviles el cual
se plasmará el estudio de la imagen partiendo del tratamiento y origen de la misma, proveniente
de un dispositivo portátil como lo es un celular. Además, se desarrollará la aplicabilidad de la
técnica Error Level Analysis y los metadatos impuestos en una imagen con el fin de encontrar
el origen donde fue tomada una imagen, como lo es la fecha, el modelo del dispositivo móvil,
el tipo de formato y validación de alteraciones realizadas con el fin de encubrir algún tipo de
delito y que este expuesto como prueba acusatoria. Frente a la problemática planteada, se
abordará el desarrollo de la investigación mediante el método científico, empezando por las
generalidades del proceso de adquisición de una imagen y de todos los elementos que se
30
involucran en la obtención de la misma, por lo tanto, se dará las correspondientes definiciones
y teorías que se emplean en el desarrollo de la técnica planteada. De acuerdo con lo anterior
permitirá realizar el paso a paso de la aplicabilidad de la técnica ELA para realizar el respectivo
tratamiento de una imagen, donde se parametrizará el proceso para predeterminar los pasos a
seguir en un análisis forense (Acevedo, 2017).
1.5.5. Análisis de metadatos en vídeos digitales de dispositivos móviles
Actualmente la calidad, prestaciones y bajo coste de las cámaras fotográficas de dispositivos
móviles hacen que éstas sean de uso común. Por tanto, el volumen de venta de dispositivos
móviles con cámara fotográfica crece a un ritmo imparable desbancando poco a poco a las
cámaras fotográficas digitales. Este escenario hace que el análisis forense de este tipo de vídeos
cobre especial importancia y sea necesario y útil en multitud de situaciones (pruebas en casos
judiciales, espionaje industrial, privación de la libertad de prensa, pederastia, etc). La mayoría
de estos dispositivos insertan metadatos en el proceso de adquisición de la imagen y son de gran
ayuda para una gran variedad de técnicas de análisis forense. Teniendo todo esto en cuenta, se
estima necesaria la existencia de herramientas eficaces y robustas, que permitan la extracción
de los metadatos de una forma veraz y consistente. En este trabajo se realiza un análisis detallado
de vídeos con formato MP4 de dispositivos móviles. El análisis se realiza utilizando una
herramienta personalizada para extraer la información almacenada en los átomos de los archivos
de vídeo de 7 modelos de dispositivos móviles. Los resultados del análisis muestran
considerables diferencias en los algoritmos de compresión de audio y vídeo, los parámetros de
captura y en la estructura interna del archivo (Quinto, Armas, Vega, Sandoval,Orozco & Garcia,
2016).
Resumen del capítulo: Se presenta la seguridad informática como primer entorno dando paso
a la informática forense para conocer las técnicas actuales de procesamiento de imágenes, así
como las principales diferencias en trabajos de investigación relacionados.
Capítulo 2
2.Marco Teórico
2.1 Introducción
Con el uso de metadatos hoy en día es posible identificar los diferentes procesos por los que sea
sometido algún tipo de archivo, estos metadatos inician desde su concepción del archivo por
mencionar algunos tenemos metadatos descriptivos cuyo objetivo es la identificación del
recurso de información, metadatos estructurales que facilitan la navegación y presentación de
recursos electrónicos y metadatos administrativos que facilitan la gestión y procesamiento de la
información que nos brindan los metadatos en la actualidad nos es útil desde identificar el tipo
de página web en la que estamos navegando hasta la marca de la cámara con la que se ha
realizado una fotografía o se ha tomado un video mejor aún los metadatos nos brindan un
historial de lo que se ha ocurrido con los archivos que se estén procesando debido a que cada
entrada o modificación al archivo queda registrado en los metadatos también hay que mencionar
que no son infalibles ya que así como son creados por al momento de abrir cualquier tipo de
archivo también se destruyen y modifican, si quisiéramos mal intencionadamente podríamos
modificar los metadatos para que mostraran lo que nosotros queramos que muestren. Es por eso
que tenemos que tenerlos en cuenta en cualquier investigación y manejarlos de manera adecuada
para saber cómo interpretarlos, en muchas ocasiones los criminales podrían alterar evidencia
para al momento de ser procesada no se cuente con estos metadatos y que existen el mercado
cientos de herramientas que nos facilitan realizar esta tarea.
2.2 Metadatos en imágenes
Objetivo: El lector deberá conocer la información técnica con la cual se relaciona a las imágenes
en diferentes tipos de archivos y los metadatos que contienen casa uno de estos, la composición
de cada tipo de estándar o en algunos casos por convenio son importantes y se deben considerar
para su manipulación y como deben ser tratados.
2
2.1.1. Metadatos Referenciales
Los metadatos habitualmente son denominados como “datos sobre los datos”, es decir,
información de interés que complementa el contenido principal de un documento digital. Los
metadatos pueden llegar a ser una potente ayuda para la organización y búsqueda a lo largo de
librerías de imágenes. Las imágenes digitales son almacenadas en una gran variedad de formatos
como TIFF, JPEG y PSD u otros propietarios como RAW. Cada formato tiene diferentes reglas
de cómo cada uno de los formatos de metadatos son almacenados junto al propio archivo que
contiene la imagen. Algunos de los distintos contenedores de metadatos para los distintos
formatos son: IFDs EXIF/TIFF, Adobe XMP e IPTC-IIM y se muestran en la tabla Metadatos.
Cada uno de estos contenedores de metadatos tiene un formato propio que indica las propiedades
de los metadatos que son almacenados el orden y su codificación en el contenedor. Dentro de
cada uno de los contenedores anteriormente comentados suele haber una subdivisión con
criterios semánticos, por ejemplo, el conjunto de etiquetas GPS en EXIF y Dublin Core en XMP.
Dentro de cada uno de los grupos semánticos anteriormente referenciados, existe una división
en propiedades de metadatos individuales. Cada propiedad tiene asociadas unos tipos de datos
específicos como pueden ser cadenas de caracteres, números o vectores. Algunas de esas
propiedades son de solo lectura y otras pueden ser modificadas por el usuario. Los metadatos
habitualmente contienen información objetiva, aunque, en algunos casos, pueden contener
información subjetiva.
Algunas propiedades como la orientación de la imagen no son comunes a los distintos
contenedores estándar; en cambio; otras, como las cadenas copyright, pueden ser almacenadas
por varios contenedores con similar información, pero posiblemente con una semántica u
estructura sutilmente distinta.
3
EXIF XMP IPTC IIM
Palabras localización
X X
Clasificación
X
Copyrigth descripción creador fecha/hora X X X
Orientación X
GPS X
Tabla 3.-Metadatos en Imágenes Fuente: elaboración propia.
La complejidad estructural descrita anteriormente hace que tradicionalmente cause problemas
en el uso eficiente y efectivo de los metadatos. Algunos de los más destacados son:
• Las distintas aplicaciones y dispositivos tratan las especificaciones de metadatos ambiguos
o con definiciones incompletas de diferentes formas.
• Las distintas aplicaciones y dispositivos toman diferentes políticas a la hora de almacenar
los metadatos que están en distintas localizaciones.
• Las aplicaciones y dispositivos a menudo almacenan metadatos propietarios, denominados
Maker Notes dentro de los contenedores. Esta práctica es débil y problemática ya que estos
datos pueden perderse fácilmente cuando una aplicación diferente modifique el archivo.
• Algunas aplicaciones utilizan las propiedades de forma inadecuada para fines específicos
distintos para los que fueron creados. Esto crea problemas de compatibilidad entre las
distintas aplicaciones que utilizan correctamente las propiedades siguiendo las
especificaciones establecidas.
• Algunas aplicaciones evitan la complejidad de almacenar los metadatos junto con el archivo
de la imagen y optan por separar y almacenar los metadatos en archivos físicos separados.
Esto hace que se puedan perder fácilmente los metadatos cuando los archivos de las
imágenes son utilizados por distintas aplicaciones (Maganto, Iso & Ballari, 2008).
Todos estos problemas causan en los usuarios frustración y desconfianza sobre los distintos
sistemas de metadatos. Los usuarios buscan interoperabilidad entre los distintos productos y
servicios de imagen digital. Los fabricantes invierten gran cantidad de recursos para resolver
4
todos estos tipos de problemas. Tanto es así que existen grupos de fabricantes como Metadata
Working Group (Metadata Working Group, 2010) con el objetivo de mitigar o erradicar los
problemas anteriormente descritos. Este grupo está formado por empresas como Apple, Adobe,
Canon, Microsoft, Nokia y Sony. Incluso con la existencia de este grupo, los problemas no se
resuelven por completo, dada la inmensa variedad de fabricantes existentes. Cabe destacar que
este hecho no implica la inutilidad del uso de metadatos en imágenes, ya que actualmente se
puede asegurar que son imprescindibles e inseparables en una imagen digital. A continuación,
se describirán en profundidad los estándares y especificaciones de metadatos de imágenes más
utilizados en la actualidad, a saber: EXIF, TIFF, JFIF, IPTC, XMP.
2.1.2. EXIF
La especificación EXIF (Exchangeable Image File Format) (Camera & Imaging Products
Association, 2010) ha sido conjuntamente desarrollado por dos asociaciones: JEITA (Japan
Electronics and Information Technology industries Association) y CIPA (Camera and Imaging
Products Association). Particularmente, el formato EXIF define un conjunto de etiquetas TIFF
(Tagged Image File Format) que es un formato de archivo basado en etiquetas para el
almacenamiento e intercambio de imágenes (Wiggins, Davidson, Harnsberger, Lauman, &
Goede, 2001). para describir imágenes fotográficas y es ampliamente utilizado en cámaras
digitales de todo tipo. La especificación usa los formatos de archivos existentes como JPEG y
TIFF a los que se agrega etiquetas específicas de metadatos. No está soportado en JPEG 2000 o
PNG. Podemos categorizar los metadatos EXIF en cuatro grandes categorías:
• Información relacionada con la fecha y hora de diferentes eventos.
• Características técnicas de configuración de la cámara. Ésta incluye información estática
como el modelo de cámara y el fabricante, e información que varía con cada imagen como
la orientación, apertura, velocidad del obturador, distancia focal y medidor de exposición.
• Información sobre localización, que puede provenir de un GPS conectado a la cámara.
• Descripción e información sobre el copyright.
Existen distintas versiones de la especificación Exif. Cada dispositivo soporta una versión la
cual incluye a todas las anteriores. Los datos de la versión Exif utilizada son una etiqueta más
5
en los metadatos. Las versiones del estándar son los siguientes:
• Versión 1.0. Octubre de 1995.
• Versión 1.1. Mayo de 1997.
• Versión 2.0. Noviembre de 1997.
• Versión 2.1. Diciembre de 1998.
• Versión 2.2. Abril de 2002.
• Versión 2.21. Septiembre de 2003.
• Versión 2.3. Abril de 2010.
Antes de comenzar a describir con más profundidad la estructura de EXIF cabe destacar la
existencia de la especificación DCF (Design rule for Camera File system) que tiene relación con
EXIF, además de haber sido también creada por la JEITA. El objetivo de DCF es intentar
simplificar el intercambio de archivos entre DSCs y otros equipos. Así, define un conjunto de
reglas de almacenamiento, lectura y escritura de los archivos de las imágenes y otros archivos
relacionados utilizados por las DCSs. Entre otras cosas, DCF define un subconjunto de EXIF,
donde algunas de las propiedades son opcionales en EXIF pero obligatorias en DCF.
Actualmente, DCF es el estándar de facto utilizado en la industria de las cámaras digitales. Dado
que el formato más utilizado en cámaras digitales, y concretamente en dispositivos móviles, es
JPEG, a continuación, se va a realizar una descripción más detallada de los elementos y
estructuras de datos que utiliza JPEG/EXIF.(Camera & Imaging Products Association, 2010).
2.1.3. Estructura general del formato JPEG
Primeramente, todos los archivos JPEG comienzan con el valor binario 0xFFD8 SOI (Start Of
Image) y terminan con el valor binario 0xFFD9 EOI (End Of Image). SOI y EOI son dos
marcadores especiales sin datos posteriores. En cambio, todas las marcas salvo las dos anteriores
contienen una estructura fija y datos. El formato básico de una marca se muestra en la tabla 4.
0XFF numero de marca(1 byte) Tamaño de los Datos(2 bytes) Datos(n bytes) Tabla 4.-Estructura general del formato JPEG.Fuente:Autor.
6
El campo tamaño de los datos sigue la alineación de bytes denominada “Motorola” (big-endian),
es decir, la lectura comienza por los bits de peso más altos a los más bajos. Por ejemplo, 0xAB21
como tamaño de datos indica que son 43809 bytes. Es importante destacar que en el tamaño de
los datos los dos bytes que indican el propio tamaño de los datos están incluidos. Por ejemplo,
el marcador 0xFFC1000C indica que la marca „0xFFC1 tiene 0x000C bytes de datos, es decir,
12 bytes de datos. Pero en esos 12 bytes se incluyen los dos bytes que indican el tamaño de los
datos. Por tanto, el campo datos tiene una longitud de 10 bytes. Los datos son los 10 bytes
siguientes a 0x000C.
En el formato JPEG existe una marca especial para describir los datos del contenido de la
imagen. Esta marca es 0xFFDA y se denomina SOS (Start of Stream). Tras la marca SOS se
encuentran los datos propiamente dichos de la imagen y se termina en la marca especial EOI
(End Of Image). Un esquema general con la posibilidad de marcadores para metadatos (por
ejemplo, EXIF) para una imagen JPEG se presenta en la tabla 5 (Camera & Imaging Products
Association, 2010).
Tabla 5.-Esquema general de marcadores para metadatos para una imagen
2.1.4. Estructura de datos EXIF
Una vez vista la estructura general a grandes rasgos de un archivo JPEG se va a pasar a un grado
más de concreción para llegar a mostrar donde se encuentran ubicados los datos EXIF. La
estructura general de un archivo JPEG/EXIF se encuentra en la tabla 6 (los segmentos
obligatorios están marcados en “negritas”).
7
Tabla 6.-Estructura general de un archivo JPEG/EXIF.Fuente: Autor.
La información EXIF es albergada en el segmento APP1. Los segmentos APPn no son utilizados
por EXIF, pero la especificación no prohíbe su utilización. Pueden ser utilizados por tanto para
almacenar cualquier otro tipo información por parte de los fabricantes, que deben velar por
mantener la compatibilidad con EXIF. El orden de los segmentos DQT, DHT, DRI y SOF es
intercambiable.
EXIF utiliza un marcador llamado “APP1” (Application Marker 1), para evitar conflictos con
el marcador APP0 del formato JFIF. Por tanto, toda imagen JPEG/EXIF comienza con la
estructura de la tabla 7.
SOI APP1 Datos APP1 Otros marcadores
FFD8 FFE1 SSSS 457869660000 TTTT… FFXX SSSS DDDD… Tabla 7.-Comienzo de toda estructura JPEG/EXIF.Fuente: Autor.
Toda la información relacionada con EXIF está almacenada en el marcador APP1. Conviene
recordar que el tamaño SSSS de APP1 incluye los dos bytes utilizados para indicar el tamaño.
Tras el tamaño SSSS del segmento APP1, existe una cadena para determinar si se sigue el
formato EXIF o no. La cadena “EXIF” en caracteres ASCII („0x45786966) seguida de 2 bytes
„0x00 indican que se está utilizando EXIF. Tras el marcador APP1, podrán existir otros
marcadores JPEG. La estructura básica del segmento APP1 se presenta en la tabla 8.
8
APP1 Market
APP1 Length
EXIF Identifier Code
TIFF Header
0th IFD
0th IFD Value
1st IFD
1st IFD Value
1st IFD Image Data
Tabla 8.-Estructura básica del segmento APP.Fuente: Autor.
Los datos APP1 no exceden el tamaño de 64 KB. Tras el indicador de que los datos almacenados
en APP1 son EXIF, el propio EXIF utiliza el formato TIFF para almacenar los datos. Los datos
de los atributos están almacenados en la estructura TIFF, que tiene un máximo de dos IFDs (0th
IFD y 1st IFD). El 0th IFD contiene información sobre la propia imagen y el 1st IFD se utiliza
para almacenar todo lo relacionado con la imagen thumbnail (imagen en miniatura).
Por tanto tras el indicador “EXIF” (con sus dos bytes a 0x00 posteriores) vienen los datos de
cabecera TIFF (primeros 8 bytes del formato), que tienen la siguiente estructura:
• Definición del tipo de alineación de los datos.
Lo definen los dos primeros bytes. Este dato es de muy importante y siempre tiene que ser tenido
en cuenta. Existen dos opciones:
1. o 0x4949=“II”. Alineación Intel, es decir alineación Little Endian. Por ejemplo el valor
232167 que en decimal es 0x038AE7 en hexadecimal, en este tipo de alineación se
almacenaría como 0x03-0x8A-0xE7.
2. o 0x4D4D=MM. Alineación Motorola, es decir Big Endian. Por ejemplo el valor 232167 en
decimal es 0x038AE7 en hexadecimal, en este tipo de alineación se almacenaría 0xE7-
0x8A-0x03.
9
Aunque JPEG siempre utiliza la alineación Motorola, EXIF permite los dos tipos de
alineaciones.
• Los siguientes dos bytes siempre tienen un valor fijo „0x2A00. Es importante recordar que
hay que tener en cuenta el tipo de alineación. Si es “MM” se almacenarían como „0x2A00 y si
es “II” como „0x002A.
• Los últimos 4 bytes de la cabecera TIFF indican el desplazamiento (offset) al primer IFD
(Image File Directory) cuya estructura se definirá posteriormente. Este desplazamiento se
cuenta a partir del primer byte del tipo de alineación. Habitualmente el primer IFD comienza
inmediatamente después de la cabecera TIFF, por lo que el valor suele ser „0x00000008.
Un esquema general de la cabecera TIFF se puede observar en la tabla 9. (González, 2011).
Alineación (2 bytes) Marca fija (2 bytes) Desplazamiento al primer IFD (4 bytes)
"II" o "MM" 0x 2A00 0xLLLLLLLLL Tabla 9.-Esquema general de la cabecera TIFF.Fuente:Autor.
2.1.5. PDF
Los documentos PDF creados en Acrobat 5.0 o posterior contienen metadatos de documento en
formato XML. Los metadatos incluyen información sobre el documento y su contenido, como
el nombre del autor, las palabras clave y la información de copyright, que puede ser empleada
por las utilidades de búsqueda. Los metadatos de documento contienen (sin limitarse a ella)
información que también aparece en la ficha Descripción del cuadro de diálogo Propiedades del
documento. Los metadatos de documento se pueden ampliar y modificar usando productos de
terceros.
XMP (Extensible Metadata Platform) (Incorporated, 2005) proporciona a las aplicaciones de
Adobe un marco de trabajo XML común que estandariza la creación, el proceso y el intercambio
de los metadatos de documento entre los flujos de trabajo de autoedición. Puede guardar e
importar el código fuente XML de los metadatos en formato XMP, lo que hace que compartir
datos entre diferentes documentos sea fácil. También puede guardar metadatos del documento
en una plantilla de metadatos que puede reutilizar en Acrobat.
10
2.1.6. Image File Directory
Un IFD (Image File Directory) está compuesto por los siguientes campos: 2 bytes que indican
el número de entradas del directorio, entradas del directorio con un tamaño de 12 bytes y un
desplazamiento de 4 bytes al siguiente IFD. Por tanto la estructura básica de un IFD se
muestra en la tabla 10. ( Hoffman, 1998).
Tabla 10.-Estructura básica de un IFD.Fuente:Autor.
Cada entrada del directorio (12 bytes) tiene la siguiente estructura:
• Etiqueta: Son los dos primeros bytes. Los identificadores de las etiquetas en EXIF 0th IFD y
1st IFD son los mismos que los de la especificación TIFF. El orden de las etiquetas en un
directorio no está especificado en EXIF.
• Tipos de datos: Siguientes dos bytes. En EXIF 2.3 [35] los tipos de datos son:
▪ Tipo 1. BYTE. Entero sin signo de 8-bits (1 byte).
▪ Tipo 2. ASCII. Un byte (8 bits) que contienen caracteres ASCII de 7 bits. Esta cadena
es terminada en NULL (0x00).
▪ Tipo 3. SHORT. Entero sin signo de 16 bits (2 bytes).
▪ Tipo 4. LONG. Entero sin singo de 32 bits (4 bytes).
▪ Tipo 5. RATIONAL. Dos LONGs. El primero es el numerador y el segundo es el
denominador. Por tanto este tipo ocupa 64 bits (8 bytes).
▪ Tipo 6. UNDEFINED. Tipo byte que puede tomar cualquier valor dependiendo de la
definición o significado del campo.
▪ Tipo 7. SLONG. Un entero con signo de 32 bits (4 bytes) en notación complemento a 2.
▪ Tipo 8. SRATIONAL. Dos SLONGs. El primero es el numerador y el segundo es el
denominador. Por tanto, este tipo de dato ocupa 64 bits (8 bytes).
11
• Número de elementos: Siguientes 4 bytes. Indica el número de elementos que almacena la
etiqueta. Es muy importante destacar que el número de elementos es algo totalmente
diferente al número de bytes. Por ejemplo, si este campo fuera 0x00000004 y el tipo fuera
LONG, en los datos se almacenarían 4 LONGs, con lo cual la longitud sería 16 bytes y no
4 (del 0x00000004).
• Valor del desplazamiento: Siguientes 4 bytes. Si el valor es 0x00000000 quiere decir que es
el último IFD. En este campo hay que tener en cuenta dos casos:
1. Si el tamaño de los datos a almacenar es menor o igual a 4 bytes, este campo almacena
directamente los datos.
2. Si el tamaño de los datos a almacenar es mayor de 4 bytes, este campo almacena el
desplazamiento donde se encuentran los datos con respecto al comienzo de la cabecera TIFF.
Los campos que contiene se muestran en la Tabla 11.
12
Tabla 11.-Datos de EXIF.
2.1.7. JPEG JFIF (JPEG File Interchange Fomat) [] es un formato de archivos de imagen estándar, que
contienen las imágenes guardadas en compresión JPEG. Permite el intercambio de metadatos
entre una gran variedad de plataformas y aplicaciones. Es un formato simple cuyo único objetivo
es el intercambio de imágenes comprimidas JPEG. No incluye algunas de las características
avanzadas de otros formatos de archivo de intercambio de imágenes. Formalmente los
estándares EXIF y JFIF son incompatibles, ya que ambos especifican que sus segmentos de
13
aplicación deben de ir los primeros en el archivo de imagen. En la práctica muchas aplicaciones
producen archivos con ambos segmentos, pero esto puede crear problemas.
2.1.8. Extensible Metadata Platform
XMP (Extensible Metadata Platform) (Incorporated, 2005) es una tecnología de etiquetado
basada en XML que permite incluir metadatos en el propio archivo. Con XMP las aplicaciones
de escritorio y sistemas de publicidad poseen un método para capturar y compartir información
aprovechando los metadatos insertados. XMP estandariza la definición, creación y el
procesamiento de los metadatos.
XMP define un modelo de metadatos que puede ser utilizado con cualquier otro conjunto de
metadatos definido. XMP también define un particular esquema de propiedades básicas muy
útiles para el almacenamiento de la historia de un recurso, así como de su procesamiento.
Para el almacenamiento de los datos utiliza un subconjunto del W3C Resource Description
Framework (RDF). Sin embargo, los usuarios pueden definir sus propias propiedades, es decir,
XMP permite a cada programa o dispositivo a lo largo de la vida del archivo añadir su propia
información.
Los metadatos XMP son más flexibles que los demás y se adaptan a más usuarios. Se apoyan
en los Dublin Core. Éstos se componen de un conjunto de 15 elementos. Originalmente, se
concibieron para la descripción generada por el autor de recursos en la web, pero se emplean
también en bibliotecas y museos. Se crearon los IPTC Core para facilitar la transición de
IPTC/IIM hacia XMP. El IPTC Core es una transferencia explícita de los valores de los
metadatos de las cabeceras IPTC al marco de trabajo XMP. Pocos programas pueden visualizar
los metadatos XMP.
XMP puede ser utilizado en diversos formatos de archivos como PDF, JPEG, JPEG 2000, GIF,
PNG, HTML, TIFF, Adobe Illustrator, PSD, MP3, MP4, Audio Video Interleave, WAV, RF64,
Audio Interchange File Format, PostScript, Encapsulated PostScript. En un archivo JPEG la
información XMP suele ser incluida junto los metadatos EXIF e IPTC (Incorporated, 2005).
14
2.1.9. Datos thumbnail Este tipo de datos se encuentran en la APP1 de compresión del formato JPEG, el cual son
imágenes en miniatura de manera similar a las imágenes primarias, utilizando dos formatos de
imagen existentes. Para este tipo de imágenes no hay límite sobre el tamaño de las imágenes en
mi-niatura más sin embargo no son obligatorias, pero se recomienda que sea registrado de ser
posible, a menos que el hardware, el mismo dispositivo u otras restricciones se opongan a esto.
datos thumbnail no necesariamente tienen que adoptar la misma estructura de da-tos que el
utilizado para las imágenes primarias. sin embargo, las imágenes primarias se registran como
datos RGB sin comprimir o datos YCbCr como no comprimido, los thumbnail no se pueden
grabar como datos comprimidos JPEG.
2.1.10. GPS
GPS es el acrónimo de Global Positioning System(sistema global de posicionamiento), un
sistema formado por una constelación de 24 satélites, llamados NAVSTAR, y 5 estaciones
repartidas por la superficie terrestre.
Los satélites se encuentran en órbitas situadas a 10.900 millas náuticas (20.200 km) y realizan
un recorrido a la Tierra cada 12 horas. De los 24 satélites disponibles, 21 son los que se encargan
de que este activo el servicio, los otros 3 se tienen en reserva como plan de emergencia por si
alguno de los 21 anteriores llegara a fallar. Estos satélites cuentan con un reloj atómico y emiten
una señal de manera continua reportando posición y hora.
Los puntos de control de estos satélites se encuentran en cinco puntos de la tierra: Hawai, Isla
de Ascensión, Diego García, Atolón de Kwajalein y Colorado Springs. Estos puntos de control
se encargan de monitorear el estado operativo de los satélites y su correcta posición en el
espacio. Una de las estaciones cumple las funciones de estación principal y transmite las
correcciones a los satélites (ZonaGPS, 2018).
Gracias a este sistema, un usuario puede determinar con muy poco margen de error su posición
en la esfera terrestre y la altitud sobre el nivel del mar en las que se encuentra.
Los 5 pasos principales, en los cuales se resume el funcionamiento del sistema GPS son:
15
1. Triangulación.
2. Distancias.
3. Tiempo.
4. Posición.
5. Corrección.
Los diferentes formatos que podremos encontrar en para las coordenadas:
GPS: [N,S] dd mm.mmm [W,E] dd mm.mmm
Resumen del capítulo:
La informática forense tiene una metodología y una misión para ser de utilidad en la sociedad
debido a los avances tecnológicos y a la propagación de información digital sobre todos los
medios de transmisión de información. La sucesión de pasos para llevar acabo una investigación
forense son identificación, preservación, análisis y presentación se deben de considerar, también
dentro de la informática forense encontramos más de una rama dedicada a la presentación de
información comprobatoria.
Los diferentes tipos de archivos que serán objeto de análisis contienen metadatos en diferentes
ubicaciones y cada uno de ellos son formatos en ocasiones siguen un estándar y en otras no por
eso es necesario identificar en cada uno de ellos que parte será analizada y de donde
específicamente se extraerán para poder ser presentados.
Capítulo 3
3. Sistema de Análisis Forense para
Imágenes (SAFI)
Objetivo del Capítulo: Mostrar las principales funcionalidades del software haciendo énfasis
en los módulos que serán de utilidad para los los peritos en informática al brindar de
funcionalidades que requieren para que pueda ser interpretados y presentados de manera fácil
cómoda y automática.
3.1. Introducción
Hoy en día no todas las pruebas digitales son admisibles para un juicio, los investigadores de delitos
tienen que pasar por los procedimientos adecuados para asegurarse de que serán admisibles en la corte.
Las pruebas obtenidas en las escenas del crimen o proporcionadas por testigos muchas veces suelen tener
falta de características que le den integridad y veracidad a la prueba.
3.1.1. Alcances El sistema será capaz de soportar información digital presentando informes sobre los archivos
que se está analizando, es importante mencionar que los archivos que se están analizando
probablemente pudieron ser alterados y esta alteración puede ser evidenciada ya que al momento
de realizar el análisis nos podremos encontrar con la información básica necesaria para
determinar un grado de confiabilidad, lo anterior es de suma importancia debido a que se busca
hacer una exploración sobre metadatos, en otras palabras el análisis es sobre la fuente de la
imagen esto toma una relevancia ya que otras herramientas plantean el análisis desde la
reconstrucción de la imagen, compresión fractal, codificación por transformación,
reconocimiento de rostros, transformaciones vectoriales, modificación o alteraciones de las
formas y contenido de las imágenes con diferentes tipos de algoritmos, dejando de lado los
metadatos, en este caso para la aplicación solo se enfocara en el análisis de los metadatos.
Dentro de los alcances se debe aclarar que el archivo pudo haber sido alterada previamente y en
muchas ocasiones después de ser analizada con el software SAFI podrá ser detectada la
alteración sin embargo no siempre puede suceder de esa forma, debido que hasta el momento
2
todo software al momento de analizar metadatos examina la fuente del archivo y dicha fuente
pudo ser modificada es por eso que el análisis no expondrá en todos los casos un informe
concluyente, e estos casos que en la práctica son cotidianos se debe considerar la adquisición de
la información y el criterio del investigador que haya enviado la evidencia a analizar.
Se deberán mostrar la mayoría de metadatos posibles para cumplir con un análisis adecuado de
los archivos.
3.1.2. Objetivos que cumplir para SAFI
Se desarrollará una aplicación que hará posible procesar la información digital de imágenes, el
método de desarrollo a utilizar será programación extrema buscando una programación ágil para
así cubrir la mayoría de los escenarios.
Este software nos provee de diferentes utilerías con las cuales son de suma importancia
cubriendo los requerimientos necesarios para el análisis de imágenes y herramientas integradas
para un manejo adecuado y fácil.
Las herramientas y la presentación de los datos obtenidos cumplen con las necesidades que
tienen que cubrir día a día los peritos en informática, lo anterior es sustentado con base en
entrevistas y trabajo diferentes áreas de informática forense en Latinoamérica.
Una característica básica es la presentación de los metadatos, debido a que dentro de un proceso
jurídico la información obtenida por el perito o sección encargada del análisis de la evidencia
se maneja en términos específicos técnicamente, modelos de dispositivos, metadatos, o
terminología técnica que muchas veces es incomprendida por más de alguna de las partes que
están en contacto con el informe esas partes pueden ser: La parte acusadora o la parte defensora,
la fiscalía, el juez, el jurado y demás áreas involucradas.
Es necesario analizar la información para constar de un proceso.El desarrollo de cada uno de los
componentes de la herramienta nos llevara a conclusiones importantes para SAFI .
En las pruebas realizadas con SAFI y durante su desarrollo se tomaron en cuenta una variedad
de imágenes para la aplicabilidad técnica de SAFI y diferenciar entre los diferentes metadatos
producidos, por lo que se toman en cuenta los estándares presentes en la tabla 12.
3
View all
EXIF
XMP
IPTC
GPS/Localizacion
G/Pano
ICC_profile
Marknotes
Tabla 12.-Especi cación y estandares de metadatos.
Ver datos Nos proporcionara la opción de mostrar los metadatos encontrados en una imagen los cuales
son mostrados en la pantalla, sin embargo, se cuentan con ocho variantes para visualizar los
metadatos
View all : Donde se podrán visualizar una lista de los metadatos concentrada de todos los
estándares analizados.
Y por separado EXIF, XMP, IPTC,GPS, GPANO, ICC_profile, Marknotes.
3.2. Proceso de desarrollo para SAFI
En el año 2011, con una orientación al desarrollo de software funcional, se Acuña el término
"ágil", en las oficinas de Chrysler corp, en su planta ubicada en el estado de Uthta de los Estados
Unidos de Norteamérica. la aceptación de "ágil" se origina mediante la convergencia de ideas y
diseño de 17 expertos de la Industria del software, en conjunto con algunos gurúes e impulsores
de metodologías de software.
Su objetivo fue permitir desarrollar software rápidamente atendiendo a los cambios que
pudieran surgir a lo largo de cualquier proyecto de desarrollo de software, sin ánimo de lucro y
están dirigidos a las personas y los resultados (Beck, 2004).
4
El desarrollo ágil a través de su manifiesto dice:
• Los individuos y sus interacciones son más importantes que los procesos y las herramientas.
• El Software que funciona es más importante que la documentación exhaustiva.
• La colaboración con el cliente en lugar de la negociación de contratos.
• La respuesta del arte del cambio en lugar de seguir cerrado.
Es por lo anterior que se ha elegido esta metodología debido a que se requiere un software
aunque sólo sea el diseño, pero que sea funcional; en donde exista la constante participación de
los clientes así como el usuario final la interacción de las personas ante poniéndose a las
herramientas y los procesos, y como colofón la respuesta de un cambio inmediato ante una
planificación exhaustiva.
Una metodología es una alternativa de solución; es una línea de trabajo bien definida, bien
estructurada que puede ser propósito general o específico.
La metodología es la etapa dentro de un proceso que establece la forma de trabajar en tiempo y
alcance (Beck, 2004).
Las metodologías ágiles forman parte del proceso conocido como desarrollo ágil o ligero de
software, y se apoyan en un conjunto de buenas prácticas, con el fin de incrementar la
productividad a la hora de desarrollar software, Cómo se muestra (Figura 6).
5
Figura 6 Proyecto de Extreme Programing XP Fuente: Beck, K. (2004). Extreme programming: A gentle introduction.
La metodología XP busca tener pequeños éxitos a través de las pruebas de los clientes o los
usuarios finales, obteniendo resultados inmediatos directos y significativos, así como tener un
diseño limpio y simple, logrando reducir la burocracia que hay alrededor de la programación.
Los clientes o los usuarios finales son los encargados de auditar los resultados exactos emanados
de la revisión y aceptación obtenidos en las pruebas con el fin de determinar Cuáles son las
pruebas de mayor prioridad y cuáles no son necesarias.
Para que se logre lo anterior, es necesario contar con las pruebas de aceptación, estas pruebas
son consideradas como las historias de usuario, Y qué haciendo una similitud con la ingeniería
de software Busca el mismo propósito que los casos de uno; es decir, es parte del Análisis que
da respuesta al ¿que?, y no la parte de diseño que da respuesta al ¿como?, Aunque de diferente
manera, todo un proceso de retroalimentación constante.
En la programación extrema todos los requerimientos se expresan como escenarios llamados
historias de usuario, dividiendo las historias en tareas, con el fin de poder planificar la entrega
y poder desarrollar, integrar y probar software.
Una vez entregado el software, es necesario evaluar el sistema, seleccionando historias de
usuario anteriores a esas entregas, con el fin de poder evaluar lo entregado, volviendo a dividir
las historias en tareas, y repitiendo este escenario de refactorización constante, a fin de mejorar
6
la calidad del código y poder mantener el diseño para evitar cambios futuros. Las pruebas de
aceptación, son parte del ciclo de retroalimentación y planificación de la metodología XP y se
deben de trabajar día con día sin eximir ninguna de las etapas complementarias de este ciclo
siendo las pruebas de aceptación, el punto de inflexión que determina si las siguientes etapas
continúan en su desarrollo o existe necesidad de realizar un ajuste necesario antes de poder
continuar con la consecuente actividad (Figura 7).
Figura 7 Ciclo de retroalimentación y Planificación de la Programación Extrema Fuente: Beck, K. (2004). Extreme programming: A gentle introduction
Figure 1: Ciclo de retroalimentación y Planificación de la Programación Extrema Fuente:
Beck, K. (2004). Extreme programming: A gentle introduction
3.2.1. Fases del desarrollo
La metodología XP cuenta con 4 fases para el desarrollo de software, definiendo la primera
como " planificación del proyecto" y para que se logre una planificación dentro de esta
7
metodología se deben de precisar las historias de usuario, siendo la primera actividad a
desarrollar dentro de esta metodología. las historias de usuario deben de redactarse en 4 o 5
líneas por parte del usuario final, en un lenguaje coloquial profundizar en las reglas del negocio,
dejando un lado el lenguaje técnico los algoritmos o el tipo de diseño de los diferentes
manejadores de bases de datos.
Esta fase principalmente está definida para determinar tiempos, aún teniendo contemplados los
errores como algo común con mecanismos de revisión de 3 a 4 iteraciones, cada iteración se
debe planificar llamándose planificación iterativa, llevando una bitácora de las historias de
usuario más destacadas y sobre todo las que no han sido aceptadas.
La segunda fase, es la de diseño, también conocido como diseño continuo, debido a que las
revisiones y las mejoras deben de ser continuas en todo el proceso el proyecto dependiendo de
las funcionalidades del mismo.
Está fase de agilidad al proceso de desarrollo, concentrándose en el diseño inmediato con el fin
de evitar mirar hacia delante, evitando distracciones como desarrollos que aún no están
planificados.
La fase diseño contempla "diseños simples, glosario de términos, riesgos, funcionalidad extra y
una refactorización"; buscando esta última, la mejora y modificación en estructura y la
codificación de códigos ya creados sin alterar su funcionalidad, refactorizar implica eficiencia
en el funcionamiento de código, es decir, al utilizar código que no va a ser completamente
funcional se debe depurar con el fin de eliminar código obsoleto y diseños inapropiados para
cualquier actividad a desarrollarse, siendo éste el fin de refactorizar al usar código ya creado.
La codificación es la tercera fase de la metodología XP, también conocida como desarrollo
dentro del proceso de la programación extrema.
Es aquí donde hay dos factores sobresalientes a considerar del resto de la metodología, la
comunicación en equipo y la metáfora, en donde la primera, es la clave del proceso XP, ya que
por lo general es la causa de retraso o del fracaso de un proyecto en desarrollo de software.
8
En otro factor llamado metáfora es un concepto nuevo este concepto busca mejorar la
comunicación entre todos los integrantes, comprendiendo la etapa de diseño y explicando en
términos coloquiales, el objetivo del software o del desarrollo, con el fin de comparar lo con
alguna cosa de la vida real.
Es necesario mencionar que la presencia del cliente dentro del proceso de desarrollo de la
extrema, tiene un papel crucial del equipo de desarrollo; tanto para el desarrollo óptimo de
código, cómo pagar las pruebas de usuario, con el fin de verificar que las historias de usuario
implementada satisfagan las necesidades de la funcionalidad específica.
La cuarta y última fase de la metodología de programación extrema, es la fase de test o pruebas,
y es aquí donde se debe someter a test, haciendo caso omiso a los procesos más triviales, debido
a que, en la fase anterior, se realizaron las pruebas básicas.
De igual forma, en esta etapa se deben de tomar en cuenta loa test de aceptación realizados, con
el objetivo de liberar las historias de usuario y verificar que las historias de usuario cumplen con
su cometido.
Los sobresalientes de esta metodología es la planificación de iteraciones y su diseño iterativo,
situación que no se describe y se trata en la programación tradicional; es decir, está pegada a la
constante comunicación e informal con el fin de que los desarrolladores se encuentren solución
a los problemas que surgen y darle seguimiento correcto alabanza de sus trabajos, esto permite
liberar actividades a desarrollar.
Un punto importante a definir es el equipo de trabajo, definiendo a este como la programación
en parejas a fin de que la propiedad sea colectiva hice de una integración continua de preferencia
40 horas a la semana, con los clientes en sitio para tener una acertada toma de decisiones al
desarrollar un proyecto (Fernandez, 2006).
9
Python como un lenguaje de programación
Porque se eligió python para programar, en primera porque es multiplataforma y en segunda
porque es multiparadigma es libre y nos ofrece código abierto y gran calidad en su sintaxis en
un bloque de código cómo puede ser un ciclo for se crea a través de indentaciones lo que hace
y los desarrolladores tengan que indentar el código haciendo sea más legible.
Python nos ofrece una serie de clases y objetos el cual nos facilita conceptos como cohesión,
polimorfismo abstracción y herencia también el manejo de variables en python puede tomar
cualquier valor, en cualquier lugar de su código fuente.
La facilidad para manejar archivos desde python es muy sencilla ya que nos permite la lectura
de binarios desde el código.
Python es un lenguaje que dadas sus características genera facilidades para la programación
orientada a objetos, imperativa y funcional, se considera un lenguaje multiparadigmas y fue
influenciado por otros como C, Algol 60, Modula-3 e Icon según su propio autor (Kuchling,
1998).
Es administrado por la Python Software Foundation. Posee una licencia de código abierto,
denominada Python Software Foundation License, que es compatible con la Licencia pública
general de GNU a partir de la versión 2.1.1, e incompatible en ciertas versiones anteriores.
El nombre del lenguaje proviene de la afición de su creador por los humoristas británicos Monty
Python.
Van Rossum es el principal autor de Python, y su continuo rol central en decidir la dirección de
Python es reconocido, refiriéndose a él como Benevolente Dictador Vitalicio (en inglés:
Benevolent Dictator for Life, BDFL).
Guido van Rossumfue creado a finales de los 80 y a principios de los 90 se encontraba
10
trabajando en el sistema operativo Amoeba.Lo cual vincula su trabajo para manejar excepciones
y tener interfaces con el sistema operativo en desarrollo siendo el sucesor del lenguaje ABC.
Con esto se concibe el lenguaje python 2.0 el 16 de octubre del 2000 una recolección de basura
y completo soporte a un Unicode.
Después viene python 3.0 en una versión más compatible compatible con las anteriores en
muchos aspectos después de un período de prueba llega el 3 de diciembre del 2008.
teniendo que ser muchas de las características de la versión anterior 2.6 para que puedan
funcionar de manera adecuada.
PyQt
La principal característica es la creación de aplicaciones GUI con un toolkit de herramientas
entre sus ventajas destaca para empezar que es multiplataforma también se le denomina un
widget-toolkit porque nos provee con con widgets-botones cajas de texto, listas barras,
desplazadoras qué son imprescindibles para diseñar una interfaz gráfica e incluye herramientas
de desarrollo integrado.
Pytq es el encargado de integrar python con este toolkit-Qt que combina todas las ventajas de
Python con las aplicaciones PyQT podemos incluir librerías QT en código python habilitando
lo para integrar aplicación gráfica de usuario cómo lo es este lenguaje de programación.
PyQT depende totalmente de las librerías QT para ejecutarse.
El IDE utilizado para el desarrollo de SAFI es PyQt el cual cuenta con una una variedad de PyQt
es un Framework de desarrollo de aplicaciones multiplataforma, embebidos y móviles, soporta
las siguientes plataformas Linux, OS X, Windows, VxWorks, QNX, Android, iOS, BlackBerry.
Qt no es un lenguaje de programación en sí mismo. Es un marco escrito en C ++. Un
preprocesador, el MOC (Meta-Object Compiler);Antes del paso de compilación, el MOC
analiza los archivos fuente escritos en C ++ extendido por Qt y genera fuentes C ++ compatibles
con ellos. Por lo tanto, el framework en sí y las aplicaciones bibliotecas que lo utilizan pueden
ser compilados por cualquier compilador estándar de C ++ como Clang, GCC, ICC, MinGW y
MSVC.
11
Inicios de PyQt
El desarrollo de Qt se inició en 1990 por los programadores noruegos Eirik Chambe-Eng y
Haavard Nord. Su compañía, Trolltech, que vendió licencias de Qt y brindó apoyo, pasó por
varias adquisiciones a lo largo de los años. Hoy, Trolltech se llama The Qt Company y es una
subsidiaria de Digia Plc. , Finlandia. Aunque The Qt Company es el principal impulsor detrás
de Qt, Qt ahora está desarrollado por una alianza más grande: The Qt Project. Se compone de
muchas empresas e individuos en todo el mundo y sigue un modelo de gobernanza meritocrática.
IDE
Qt viene con su propio entorno de desarrollo integrado (IDE) , llamado Qt Creator . Funciona
en Linux, OS X y Windows y ofrece terminación de código inteligente , resaltado de sintaxis ,
integración de un sistema de ayuda integrado, depurador y perfilador, y también integración
para todos los principales sistemas de control de versiones (por ejemplo, git, Bazar). Además de
los desarrolladores de Qt Creator en Windows, también se puede usar el complemento de Visual
Studio de Qt . También se pueden usar otros IDE (por ejemplo, KDevelop en KDE )(Riverbank,
2018).
3.2.2. Análisis
Se llevó a cabo una entrevista con la policía de investigación de Chile (PDI), en la cual nos
presentaron sus procesos para el procesamiento de archivos que contienen metadatos los cuales
son documentados de una manera poco práctica, teniendo como área de oportunidad la
generación de reportes y la velocidad de procesamiento de archivos, utilizando herramientas
muy completas pero al mismo tiempo al ser muy extensas se convertían herramientas
complicadas, por lo cual se nos presentó un informe con requerimientos deseados para nuestro
análisis inicial.
Se tomaron en cuenta algunos de los requerimientos y especificaciones el usuario final nos
recomendó este trabajo de investigación se realizó con la colaboración de la policía de
investigación de Chile PDI.
Algunos de los puntos que se tocaron durante algunas sesiones de trabajo pueden ser consultadas
en el (apéndice B)
12
3.2.3. Arquitectura
Arquitectura MONOLÍTICA.
Es la arquitectura de los primeros sistemas operativos constituidos fundamentalmente por un
solo programa compuesto de un conjunto de rutinas entrelazadas de tal forma que cada una
puede llamar a cualquier otra.
• Las características fundamentales de este tipo de arquitectura son:
Construcción del programa final a base de módulos compilados separadamente que se unen a
través del ligador.
Buena definición de parámetros de enlace entre las distintas rutinas existentes, que puede
provocar mucho acoplamiento.
Carecen de protecciones y privilegios al entrar a rutinas que manejan diferentes aspectos de los
recursos de la computadora, como memoria, disco, etc.
Generalmente están hechos a medida, por lo que son eficientes y rápidos en su ejecución y
gestión, pero por lo mismo carecen de flexibilidad para soportar diferentes ambientes de trabajo
o tipos de aplicaciones.
• Ventajas:
Muy eficiente ya que se producen pocos cambios de contexto. GUI (Interfaz Gráfica del
Usuario).
• Inconvenientes:
Difícil de depurar, un error en una función se puede manifestar en otra distinta.
Difícil de ampliar. (Gutiérrez, 2010).
13
3.2.4. Diagramas de casos de uso.
Para esquematizar las historias de los usuarios antes mencionadas, se analizaron diagramas de
casos de uso, especificando la relación que tienen los stakeholders con cada uno de los
módulos del sistema.
Por lo anterior se representa gráficamente la relación que tienen los usuarios simbolizados
como actores, con las actividades principales a ejecutarse, constituidos por medio de óvalos.
Observe la Tabla 13.
Tabla 13.-Casos de uso.
14
3.2.5. Especificación de los casos de uso.
1. Se muestran las especificaciones de cada caso de uso para poder seguir el flujo que se
muestra en la tabla 14.
Caso de Uso: Carga de Archivos
Creado por: Alejandro Garcia Tagle
Actor: Perito Forense
Descripción: El perito carga las imágenes en SAFI
Condiciones: Haber ejecutado de manera correcta SAFI con
las libreiras necesarias previamente
especificadas en los requerimientos.
Flujo
normal:
1 Abrir SAFI ejecutando desde linea de
comando el SAFI.py
2 Cargar Imágenes en el botón Cargar
imágenes.
Flujo
alternativo:
1 Dar clic en Archivo Cargar imágenes y
seleccionar la ubicación de las imágenes en el
equipo.
Excepciones: No se Cargaran las imágenes si no cumplen con
los formatos soportados.
Notas
Tabla 14.-Caso de Uso: Carga de Archivos
15
Se carga la imagen al seleccionarla. Tabla 15.
Caso de Uso: Extraer Metadatos.
Creado por: Alejandro Garcia Tagle
Actor: Perito Forense
Descripción: El perito selecciona las imágenes en SAFI
Condiciones: Haber cargado las imágenes de manera correcta en SAFI con los
formatos correctos.
Flujo
normal:
1 Seleccionar la imagen deseada en el panel izquierdo.
2 Seleccionar el tipo de metadatos que queremos visualizar:
Todos, EXIF, XMP, IPTC,GPS, ICC, MARK NOTES.
Flujo
alternativo:
1 Dar clic en Archivo Cargar imágenes
2 Cargar las imágenes.
Excepciones: No hay se encuentran metadatos en las imágenes.
Notas Es posible que no se encuentren metadatos en las imágenes si es
que fueron borrados o se les dio tratamiento mediante algún
software Tabla 15.-Caso de uso: Extraer Metadatos.
16
2. Validación de metadatos GPS se valida que la imagen contenga meta datos GPS que
son de gran relevancia para la imagen. Tabla 16.
Caso de Uso: Validación de metadatos GPS
Creado por: Alejandro Garcia Tagle
Actor: Perito Forense
Descripción: El perito selecciona los el modulo GPS.
Condiciones: Las imágenes tienen que contener metadatos
forzosamente para contener metadatos GPS.
Flujo
normal:
1 Se selecciona el radio botón GPS para ingresar a
validar los metadatos GPS..
2 Puede editar los metadatos GPS en este modulo.
Flujo
alternativo:
1 Dar clic en Google maps.
Excepciones:
No hay se encuentran metadatos GPS en las
imágenes.
Notas
Es posible que no se encuentren metadatos GPS
en las imágenes si fue desactivado el GPS. Tabla 16.-Caso de uso: Validación de metadatos GPS.
17
3. Generación del reporte como se observa en la tabla 17 se genera el reporte en varios
formatos disponibles.
Caso de Uso: Generar Reporte
Creado por: Alejandro Garcia Tagle
Actor: Perito Forense
Descripción: El perito generar el Reporte forense.
Condiciones: La imagen debe contener metadatos.
Flujo
normal:
1 Seleccionar imagen.
2 Seleccionar Generar reporte
3 Seleccionar Formato de salida
Flujo
alternativo:
1 Dar clic en Google maps.
2 Seleccionar generar reporte.
Excepciones:
No hay se encuentran metadatos en las imágenes y
el reporte no es generado
Notas
Tabla 17.-Caso de uso:Generar Reporte.
18
3.2.6. Diagramas de transición de estados.
Un diagrama de transición de Estados También conocido como DTE, destaca el comportamiento
de un sistema en el tiempo; es decir, observa la manera que actúa un sistema, cambiando los
estados como consecuencia de los eventos y las posibles actividades que pueden resultar del
procesamiento asociado a través del tiempo.
Del mismo modo, se enfatizan el comportamiento excepcional, hablando específicamente de los
errores.
1. Diagrama de Estado (Figura 8)
Figura 8 Carga de Archivo
2. Diagrama de estado Evaluación de metadatos.(Figura 9).
19
Figura 9 Diagrama de estado Evaluación de Metadatos
Diagrama de Estado Validación GPS. (Figura 10).
Figura 10 Diagrama de estado Validación GPS
Diagrama de Estado Genera Reporte (Figura 11)
20
Figura 11 Diagrama de estado Reporte
3.3. Funciones principales del sistema
• Lectura de Metadatos
La carga y lectura de metadatos se realizará para imágenes y archivos pdf.
• Lectura diferenciada por especificación o estándar.
Los metadatos que se cargaron se podrán visualizar por diferentes estándares y especificación
donde se encuentran almacenados metadatos.
• Generación de reporte
Los reportes contendrán la descripción de y contenido de los metadatos, el reporte podrá ser
21
emitido en txt, cvs, xml.
Usuarios
El sistema se desarrolló siguiendo los requerimientos y recomendaciones de la PDI (policía de
investigación de Chile) en el departamento de Laboratorio de Criminalística Central, donde los
usuarios son los peritos en informática forense los cuales reciben el requerimiento por parte de
la fiscalía o de la parte defensora para realizar una pericia en donde se analizan metadatos y se
reportan en un informe, en este departamento la demanda de pericias es muy alta por lo que es
necesario obtener una herramienta que permita de manera rápida y sencilla procesar imágenes
así como emitir un reporte.
3.4. Requerimientos del sistema
En la construcción del sistema se obtienen los requerimientos la división de requerimientos
funcionales y no funcionales de acuerdo a las necesidades detectadas.
En la siguiente lista podremos visualizar los requerimientos del Sistema de Análisis Forense
para Imágenes los cuales, con expresados en términos del sistema, para tener claro las
características que el sistema debe de tener.
R1: El sistema debe cargar en un sistema operativo Linux.
R2: El sistema debe permitir cargar imágenes para su análisis cargadas previamente al equipo.
R3: EL sistema debe leer metadatos en los estándares y especificaciones EXIF, XMP, IPTC,
GPS, ICC, MARK NOTES.
R4: El sistema debe tener acceso a la lectura de metadatos de geoposicionamiento.
R5: El sistema debe ser capaz de generar un reporte en formato txt y cvs, como mínimo.
3.4.1. Requerimientos no funcionales
22
1. El sistema debe ser sencillo y no robusto.
2. El sistema debe poseer una interfaz sencilla e intuitiva.
3. El sistema debe poseer interfaces gráficas.
3.5. Requerimientos hardware y software del sistema
Al considerar a los requerimientos generales de un sistema en paralelo con los componentes de
un sistema de información diserta 2 en el capítulo anterior se estableció el Hardware como
ordenador; caso específico, una impresora láser para observar los resultados de: reportes,
informes, estadísticas y correos a los cuales llegará el reporte final.
El segundo componente se establece de software libre el sistema operativo es Linux cualquier
distribución, el resto Está compuesto por python 2.7 y python 3.6 para el desarrollo en su versión
0.9.1.
Las librerías necesarias para ejecutar el software instaladas sobre la distribución Python:
1. python-docx
2. pillow
3. exifread
4. python-xmp-toolkit
5. termcolor
6. appJar
7. reportlab
8. tkinker
Resumen del Capítulo: Se plantea el desarrollo y metodología a seguir para el sistema de
análisis forense de imágenes con el análisis los casos de uso los diagramas de estado, así como
su interfaz y funcionalidades para que el lector pueda dimensionar el proyecto.
Capítulo 4
4. Pruebas y resultados
Las pruebas se llevaron a cabo capturando una fotografía en formato jpg (Figura 12) con un
smartphone marca Samsung, modelo SM-G531H, imagen fue tomada con fecha de 26 de
noviembre del 2017 a las 14:11:26, y las siguientes coordenadas S 33º 27' 22.64148" y W 70º
38' 32.95427" situando el lugar de la captura de la foto, las pruebas buscan revelar todos los
metadatos que se logran extraer por parte de los sistemas, logrando obtener un listado de
metadatos, tiempos de ejecución del sistema en cuanto a su ejecución de extracción, facilidad
de instalación, facilidad de uso así como puntos importantes a resaltar cada uno de los sistemas.
Figura 12 Imagen para pruebas Fuente: Autor
2
La extracción de un metadato utilizando la librería exifread por ejemplo la podemos visualizar
en la siguiente función esto fue codificado en Python (Figura13).
Figura 13 Lectura de metadatos Fuente: Autor
Abrimos el archivo de imagen para leer (modo binario)
f = abrir (nombre_ruta, 'rb')
Devuelve las etiquetas EXIF
tags = exifread.process_file (f)
Las etiquetas devueltas serán un nombre de mapeo del diccionario de las etiquetas Exif a sus
valores en el archivo nombrado por path_name.
Puede procesar las etiquetas como lo desee.
En particular, podemos iterar a través de todas las etiquetas con:
for tag in tags.keys():
–if tag not in ('JPEGThumbnail', 'TIFF Thumbnail', 'Filename', 'EXIF MakerNote'):
—print "Key: %s, value %s" % (tag, tags[tag])
En este caso IF Se para evitar las etiquetas de las etiquetas que son largas por que es un ejemplo
de cómo funciona Exifread.
El diccionario de etiquetas incluirá claves para todas las etiquetas EXIF habituales, #y también
incluirá las claves para Makernotes utilizadas por algunas cámaras, para las cuales tenemos una
buena especificación.
Por ejemplo:
'EXIF DateTimeOriginal', 'Orientación de la imagen', 'MakerNote FocusMode'
3
Descripciones de etiqueta
Las etiquetas se dividen en estas categorías principales:
Image: información relacionada con la imagen principal (IFD0 de los datos Exif).
Thumbnail: información relacionada con la imagen en miniatura, si está presente (IFD1 de los
datos Exif).
EXIF: Información Exif (sub-IFD). GPS:
Información del GPS (sub-IFD).
Interoperability:
Información de interoperabilidad (sub-IFD).
MakerNote:
Información específica del fabricante.
Con el uso de las diferentes librerías que han sido creadas y las que ya nos proporciona el
lenguaje python es creado SAFI definiendo nuevas funciones para la lectura de metadatos en
los diferentes estándares y especificaciones.
4.1. Interfaz
La interfaz cuenta con SAFI es una aplicación esto significa interfaz de documento simple, qué
es la organización de las aplicaciones en ventanas individuales y que son manejadas desde un
mismo gestor, por eso podemos organizar diferentes funciones dentro de la aplicación en SAFI
como se muestra en la Interfaz (Figura14).
La navegación por las pestañas nos da la posibilidad de poder pasar de una funcionalidad a otra
a través de varios paneles contenido dentro de una sola ventana principal, usando pestañas para
alternar entre estas. esto se le conoce como TDI, Tabbed document interface en español Interfaz
de documentos en pestañas.
4
SAFI nos proporcionará la posibilidad de crear documentos a partir de los metadatos obtenidos
en EXIF, XMP, IPTC, GPS si es que existieran metadatos contenidos en la específica o en el
estándar anteriormente mencionado de exportarlos a diferentes formatos el primero sería en un
formato de texto plano con extensión .txt esto sería de Gran utilidad ya que no pesa el archivo
y en algunos casos lo único que se pide es tener las etiquetas y la descripción de las etiquetas
como se muestra en el reporte (Figura15).
Figura 14 Interfaz SAFI Fuente:Autor
5
Otro formato con el que vamos a contar para poder exportar los metadatos sería CVS qué es un
archivo de texto plano que almacena los datos de forma en columnas, separadas por comas y las
filas se distinguen por saltos de línea.
Esto permitirá que tengamos la posibilidad de abrir el formato en las hojas de cálculo más
utilizadas o exportarlo alguna base de datos tomando en cuenta tira separado por comas como
delimitador como se observa en el reporte en CVS (Figura 16).
Figura 15 Reporte txt SAFI Fuente: Autor
6
Figura 16 Reporte SAFI CSV Fuente: Autor
4.1.1. Los formatos de archivos
Con relación a las imágenes los formatos más comunes son JPG-JPEG (Joint Photographic
Experts Group = Grupo de Expertos Fotográficos Unidos), TIF-TIFF (Tagged Image File
Format = Formato de Archivo de Imagen Etiquetada), PNG (Portable Network Graphic =
Gráfico portable para la red), GIF, PDF, DOC.
4.1.2. Visualizar los datos EXIF
Se podrán visualizar los datos este modulo provee de las herramientas necearías para la edición
de metadatos en los diferentes estándares manejados en cada uno de ellos podremos editar los
campos o en caso que no contenga datos podremos colocarlos.
Aquí se pueden visualizar
Camara o equipo:
• Make:
Tipo: string Grupo: IFD0
• Model:
Tipo: int16u Grupo: IFD0
• Data and time:
Tipo:string Grupo: ExifIFD
• ModifyDate:
7
Tipo: string Grupo: IFD0
• DataTimeOriginal:
Tipo: string Grupo: IFD0
• CreateDate:
Tipo: string Grupo: IFD0
• Creative Tag:
Tipo: string Grupo: IFD0
• Artis/creador
Tipo: string Grupo: IFD0
• Copyright:
Tipo: string Grupo: IFD0
• User Comment:
Tipo: string Grupo: IFD0
• Descripcion:
Tipo: string Grupo: IFD0
Copiar de la imagen: Esto copiará todos los datos EXIF de la imagen en los campos de entrada.
Guardar en la imagen: Esto guardará los datos EXIF en las imágenes.
4.1.3. GPS
La localización GPS es de gran ayuda como servicio nos permite saber con exactitud donde fue
realizado el disparo con el dispositivo que capturó o imagen. Hay que recordar que eso siempre
y cuando se tenga habilitada la función de GPS en el dispositivo. Esta funcionalidad es
8
controversial debido a que los fabricantes de los diferentes dispositivos para fotografía están
implementando la posibilidad de desactivar el GPS del dispositivo para que al momento de ser
capturada la imagen o generado el archivo no contenga este metadato. El proceder de los
fabricantes es correcto ya que en diferentes legislaciones al rededor del mundo se plantea el uso
correcto del GPS siendo un dato personal que en este caso es intrínseco a la imagen o archivo
que es propiedad del usuario que genero dicho archivo. Los metadatos obtenidos de las
imágenes:
Esta opción tiene como objetivo mostrar la localización de las fotografías de un proyecto
seleccionado. Esta operación se realiza seleccionando los ficheros de imagen de los que se
quiere ver la localización GPS y se apoya en la herramienta Google Maps para visualizar las
distintas coordenadas de las fotografías.
Podremos Editar los datos GPS por latitud, longitud y altitud también pudiendo editar los datos
por grados minutos y segundos, en este modulo también se contienen campos de XMP y IPTC
ya que se encuentran separados de EXIF, en ese caso podremos editar campos como locación,
país, estado, ciudad.
4.1.4. Datos XMP
XMP (Extensible Metadata Platform) es una tecnología de etiquetado basada en XML que
permite incluir metadatos en el propio archivo.
Podremos visualizar los campos correspondientes a XMP:
Creator:
Rights
Description
Label
Subjet
Title
Rating
Person
9
4.1.5. Visualizar datos de GPano
Los desarrolladores que escriben estos metadatos los toman como se describe en el estándar de
Adobe XMP (Incorporated, 2005).
Aquí podremos ver en caso de existir los metadatos.
• StitchingSoftware: El software que se usó para crear la foto esférica final. Algunas veces,
puede ser el mismo valor que el de GPano:CaptureSoftware.
• CaptureSoftware: Si la captura se realizó con una aplicación en un dispositivo móvil, como
un teléfono Android, el nombre de la aplicación que se usó (como “Photo Sphere”). Se debe
dejar en blanco si las imágenes de origen se capturaron manualmente, como ocurre al usar
una cámara DSLR en un trípode.
• CroppedAreaImageWidthPixels: Equivalente al ancho real de la imagen.
• CroppedAreaImageHeightPixels: Equivalente a la altura real de la imagen.
• FullPanoHeightPixels: Altura completa original a partir de la cual se recortó la imagen. Si
solo se capturó una foto esférica parcial, esta propiedad especifica la altura que hubiera
tenido la foto esférica completa.
• CroppedAreaLeftPixels: Columna en la que el borde izquierdo de la imagen se recortó a
partir de la foto esférica de tamaño completo.
• FullPanoWidthPixels: Ancho completo original a partir del cual se recortó la imagen. Si solo
se capturó una foto esférica parcial, esta propiedad especifica el ancho que hubiera tenido la
foto esférica completa.
• FullPanoHeightPixels: Altura completa original a partir de la cual se recortó la imagen. Si
solo se capturó una foto esférica parcial, esta propiedad especifica la altura que hubiera
tenido la foto esférica completa.
• CroppedAreaLeftPixel: Columna en la que el borde izquierdo de la imagen se recortó a partir
de la foto esférica de tamaño completo.
• InitialViewHeadingDegrees: El ángulo de orientación de la vista inicial en grados.
• InitialViewPitchDegrees: El ángulo de inclinación de la vista inicial en grados.
• InitialViewRollDregrees: Balanceo de la imagen, medido en grados, donde el nivel con el
horizonte es 0. El valor debe ser > -180 y <= 180.
10
• InitialHorizontalDegrees: El campo visual horizontal inicial que el visor debe mostrar (en
grados). Es similar al nivel de zoom.
En el capítulo se presentan las principales funcionalidades de SAFI Así como su diseño y
principal función de cada uno de los módulos que contiene siendo parte fundamental la
extracción de la serie bytes para validar que no se haya alterado la evidencia. También se
menciona la generación de informes con un grado de confiabilidad, y podrá anexar un informe
de geolocalización si es que el archivo contiene esos metadatos, el envío de los informes estará
de manera ni automatizada.
4.2. Datos Críticos
Los datos críticos para el análisis de evidencias son las siguientes meta-tags que se contienen en
EXIF siendo estos de gran importancia ya que toman un papel fundamental según la información
que encontremos almacenada en esos campos.
• Model
El nombre del modelo o número de modelo del equipo.
Este es el nombre de escáner, video digitalizador u otro equipo que generó la imagen.
Cuando el campo se deja en blanco, se trata como desconocido.
Es de gran importancia ya que se puede asociar el modelo del equipo a un dispositivo que este
ligado como evidencia.
• Make
El fabricante del equipo de grabación.
Este es el fabricante del escáner, video digitalizador u otro equipo que generó la imagen.
Cuando el campo se deja en blanco, se trata como desconocido.
La importancia de este campo toma gran relevancia cuando se toma en cuenta el fabricante del
equipo, de esta manera facilitara la vinculación con el dispositivo.
Ejemplo LG
Cabe mencionar que las dos anteriores meta-tags tienen relevancia debido a que tiene que haber
una relación directa en entre Make y Model en el caso de los smartphones y algunos dispositivos
11
por lo que nos ayudara a descartar alguna incongruencia en cuanto a el modelo no
correspondiente con un fabricante, aunque lo anterior no sucede en las cámaras digitales de bajo
presupuesto por que se podría llegar a omitir algún dato.
• DateTimeOriginal
La fecha y la hora en que se generaron los datos de la imagen original. Para un DSC la fecha y
la hora en que se tomó la fotografía son grabados. El formato es "AAAA: MM: DD HH: MM:
SS" con la hora en formato de 24 horas, y la fecha y la hora separados por un carácter en blanco
[20.H]. Cuando la fecha y la hora son desconocidas, todos los espacios de caracteres excepto
dos puntos (":") pueden llenarse con caracteres en blanco, de lo contrario, el campo
Interoperabilidad puede llenarse con caracteres en blanco. La longitud de la cadena de caracteres
es de 20 bytes, incluido NULL para la terminación. Cuando el campo se deja en blanco, se trata
como desconocido.
• DateTimeDigitized
La fecha y la hora en que la imagen se almacenó como datos digitales. Si, por ejemplo, DSC
capturó una imagen y a la misma vez que se grabó el archivo, entonces DateTimeOriginal y
DateTimeDigitized tendrán los mismos contenidos. El formato es "AAAA: MM: DD HH: MM:
SS" con la hora en formato de 24 horas, y la fecha y la hora separadas por un carácter en blanco
[20.H]. Cuando se desconocen la fecha y la hora, todos los espacios de caracteres excepto dos
puntos (":") pueden llenarse con caracteres en blanco, o bien el campo Interoperabilidad puede
llenarse con caracteres en blanco. La longitud de la cadena de caracteres es de 20 bytes, incluido
NULL para terminación. Cuando el campo se deja en blanco, se trata como desconocido.
La relación directa que existe entre estos dos campos se debe a que DateTimeOriginal es el
campo que genera la hora exacta en la cual es capturada la imagen y DateTimeDigitized es lo
que sucede con despues de capturar la imagen estos dos campos suelen tener milésimas de
segundo en relación a la misma imagen o digitalización.
12
Ejemplificando lo anterior como se observa en la tabla 18 la diferencia es mínima.
Date Time
Original
2015:12:13
16:11:00.100
Create Date
2015:12:13
16:11:00.20
Tabla 18.-Diferencia entre Create Date y Date Time Original.
Teniendo una diferencia de 100 milésimas de segundo respecto a datatimeoriginal esto
demuestra que es real la imagen hay una diferencia entre ellas natural.
Los Datos GPS
Otros campos fundamentales para determinar la vinculación de un dispositivo a una escena o
hecho es la ubicación del mismo al momento de ser capturada la imagen, se debe tomar que el
fabricante deja por lo general a consentimiento del usuario la decisión de que se plasmen estas
meta-tags en una imagen por seguridad del propio usuario debido que al momento de compartir
imágenes están compartiendo la ubicación del usuario y en muchas ocasiones el mismo no lo
sabe.
En muchas ocasiones se ha logrado resolver casos criminales gracias a estos metadatos (Cruz,
2013).
Es necesario destacar que las tecnologías que están a la vanguardia como Drones y cámaras
fotográficas profesionales tienen más posibilidades de explotar estas características por que se
han encontrado con aplicaciones útiles sobre estos campos.
• GPSLatitudeRef
Indica si la latitud es norte o sur. El valor ASCII 'N' indica latitud norte y 'S' es sur latitud.
• GPSLatitude
Indica la latitud.
La latitud se expresa como tres valores RACIONALES que dan los grados, minutos y segundos,
respectivamente.
Si la latitud se expresa en grados, minutos y segundos, un formato típico sería dd / 1, mm / 1, ss
13
/ 1.
Cuando se usan grados y minutos y, por ejemplo, fracciones de minutos se dan hasta dos
decimales, el formato sería dd / 1, mmmm / 100,0 / 1.
• GPSLongitudeRef
Indica si la longitud es este u longitud oeste. ASCII 'E' indica longitud este y 'W' es oeste
longitud.
• GPSLongitude
Indica la longitud.
La longitud se expresa como tres valores RACIONALES que dan los grados, minutos y
segundos, respectivamente.
Si la longitud se expresa en grados, minutos y segundos, un formato típico sería ddd / 1, mm /
1, ss / 1.
Cuando se usan grados y minutos y, por ejemplo, fracciones de minutos se dan hasta dos
decimales, el formato sería ddd / 1, mmmm / 100,0 / 1.
• GPSAltitudeRef
Indica la altitud utilizada como la altitud de referencia.
Si la referencia es el nivel del mar y la altitud está por encima del nivel del mar, 0 es dado. Si la
altitud está por debajo del nivel del mar, se da un valor de 1 y la altitud se indica como un valor
absoluto en la etiqueta GPSAltitude.
La unidad de referencia es metros. Tenga en cuenta que esta etiqueta es de tipo BYTE, a
diferencia de otras etiquetas de referencia.
• GPSAltitude
Indica la altitud basada en la referencia en GPSAltitudeRef. La altitud se expresa como un valor
RACIONAL. La unidad de referencia es metros.
• GPSTimeStamp
14
Indica la hora como UTC (Tiempo Universal Coordinado). TimeStamp se expresa como tres
valores RACIONALES dando la hora, el minuto y el segundo.
• GPSDateStamp
Una cadena de caracteres que registra la información de fecha y hora relativa a UTC (Tiempo
Universal Coordinado). los el formato es "YYYY: MM: DD". La longitud de la cadena es de 11
bytes, incluido NULL.
Hay muchos otras meta-tags que incluyen la especificación EXIF sin embargo estas son las mas
relevantes debido a su uso en los smartphones, cámaras digitales y dispositivos móviles de uso
común (Incorporated, 2005).
4.3. Pruebas
• EXIF PILOT
Puede ejecutar EXIF PILOT en su máquina si cumple los siguientes requisitos del sistema:
procesador de 800 MHz o superior, 256MB de memoria RAM o más, monitor de resolución de
800x600 o superior, 400MB de espacio libre en disco, sistema operativo Windows 7 o superior.
La interfaz de la aplicación se divide en dos paneles como se observa (Figura 17).
15
Figura 17 EXIF PILOT Fuente: Autor
El que está en el extremo izquierdo permite explorar en la máquina, buscar carpetas que
contengan imágenes. Seleccionar una carpeta que contenga imágenes y se mostrarán vistas
previas en miniatura en el panel en el medio. Seleccione una vista previa de la imagen y la
información asociada con esa imagen se presentará en el panel a la derecha.
EXIF PILOT permite acceder a la siguiente información: Información principal: nombre de
archivo, tipo de imagen, ancho, alto, tamaño de archivo.
Información EXIF: la marca y el modelo del dispositivo utilizado para tomar el modelo, la
resolución X e Y, la fecha de captura de la imagen, la información del artista, el tiempo de
exposición, la información del GPS(Two pilots, 2018).
Información de IPTC: tipo de objeto, nombre de objeto, urgencia, categoría, palabras clave,
fecha de lanzamiento, título.
Notas del fabricante: modo de flash, tamaño de imagen, zoom digital, contraste, nitidez, número
de serie de la cámara.
La herramienta EXIF PILOT genera un informe en donde exporta los metadatos EXIF a un xlx
como se muestra en la siguiente (Figura 18).
16
Figura 18 Datos EXIF Fuente: Autor
• EXIFTOOL
Figura 19 EXIFTOOL
Exiftool (Figura 19) es un software que nos da la facilidad de gestionar los metadatos de archivos
multimedia con lo que podemos escribir leer o editar metadatos.
El archivo que descargamos tiene extensión .zip por lo que habrá que descomprimirlo y
encontraremos con el ejecutable exiftool(-k).exe que usaremos a través de la consola de
comandos en Windows como se observa en la Figura 19.
Se realizaron pruebas con el software exiftool y los resultados se tomaron de una imagen
17
original, es decir que no tenga modificaciones ya que al momento de hacer una modificación o
darle un tratamiento por alguna red social como twitter, facebook, instagram perderíamos
metadatos lo cual no sería favorable para la investigación.
Se presenta el procesamiento de una imagen tomada de un smartphone, en donde podremos
analizar diferentes datos de la especificación Exif, es necesario mencionar que para este análisis
se utilizó la herramienta exiftool ya que es una herramienta apropiada para realizar el análisis
con diferentes utilerías, además de ser software libre por lo que no tiene ningún costo. la
instalación de la herramienta se podrá ver.
Una vez descargada la imagen se podrá ejecutar desde el cmd.
18
Figura 20 Exiftool Fuente: Autor
Una vez ejecutado el análisis en el directorio donde se encuentra la imagen se extraen los
metadatos de la especificación Exif.
En dónde nos mostrará la información que encontramos en la imagen, en los resultados se
pueden observar (Figura 21), la mayoría de las etiquetas exif desde make hasta la apertura del
19
diafragma o la orientación de la cámara (Harvey, 2010).
Figura 21 Resultados de Exiftool Fuente: Autor
20
4.4. Ventajas y desventajas
Se busca identificar las ventajas y desventajas entro los sistemas en mencionados anteriormente
para puntualizar las diferencias y similitudes las cuales no son de gran utilidad al momento de
hacer una elección, así como encontrar cumplir con el objetivo de SAFI.
El proceso de instalación es un punto el cual se debe de tomar en cuenta al momento de evaluar
la facilidad para ser utilizado en dependencias que se dedican a procesar las imágenes con fines
de análisis, estos sistemas pueden ser instalados por el personal técnico encargado de tener la
infraestructura por lo que a continuación se realiza un análisis del proceso de instalación.
Figura 22 Resultados de Exiftool Fuente: Autor
21
• En el caso de Exiftool es necesario descargar los archivos binarios y agregar a las variables
de entorno de nuestro sistema en el caso de Windows como se muestra en la Figura 23, lo
que complica la que cualquier usuario sin conocimientos logre instalar el software.
En el caso de Linux solo basta ejecutar el comando apt-get install libimage-exiftool-perl esto
es más sencillo.
Figura 23 Agregar a variables de entorno Exiftool Fuente: Autor
En el caso de Exif Pilot es un sistema que solo es para sistemas Windows por lo que ya nos
provee de un asistente de instalación, solo hay que seguir las instrucciones en donde nos
preguntara la ubicación que deseamos para la instalación Figura 24.
22
Figura 24 Asistente de instalación de Exif Pilot Fuente: Autor
• Para el caso de SAFI es necesario colocar los binarios en la carpeta que deseemos de nuestro
sistema operativo de linux y ejecutar. SAFI para que se ejecute el sistema.
Figura 25 Ejecución de SAFI Fuente: Autor
23
4.4.1. Tiempos de procesamiento
Se realizaron mediciones de los tiempos en procesamiento de las imágenes, en el cual el objetivo
es medir el tiempo que se tarda en arrojar resultados, el método por el cual se midieron los
tiempos fue con el comando time en Ubuntu y con cronometro manual arrojando los siguientes
resultados.
Los datos se tomaron con el comando time podemos saber el tiempo que tarda en ejecutarse un
determinado comando podemos saber el tiempo que tarda en ejecutarse una determinada
instrucción. En el caso de EXIFPILOT como es un software que es para plataformas Windows
no es posible utilizar el comando time por lo que se usar cronometro manual para medir sus
tiempos de procesamiento como se muestra en la tabla 19.
Software Comando
Time Cronometro
EXIFPILOT
-- 1.5
EXIFTOOL
.57
.5
SAFI
.69 .75
Tabla 19.-Tabla resultados de tiempo de procesamiento Fuente: Autor.
4.4.2. Conclusiones de la comparativa
Ya que hemos comparado los softwares de extracción de metadatos, se puede concluir, que no
habiendo ninguna que ofrezca todas las mejores posibilidades, el software que se presenta en
este trabajo de tesis se posiciona a ser una de las que ofrece una serie herramientas. comparada
la herramienta con otras con propósitos comunes, la herramienta presentada en este trabajo es
la que ofrece una mayor facilidad de trabajo y eficiencia en el tratamiento de metadatos EXIF,
XMP, IPTC, GPS.
Ningún de software presentados posee un tratamiento de imágenes por carpeta considerando un
análisis simultaneo en por volumen, así como un análisis de metadatos Exif, XMP, IPTC, GPS
24
más completo y organizado.
Este software no tiene como función principal la organización de galerías de imágenes o la
manipulación estética o fines diferentes a el análisis forense, sino ayudar a la practicidad y
automatización, en la medida de lo posible, el análisis de los metadatos de imágenes de
dispositivos móviles tomando en cuenta para su análisis la fuente de adquisición.
El software SAFI consigue los resultados esperados más que los softwares presentados
anteriormente.
Conclusión
La aplicación de escritorio SAFI se desarrolló como proyecto de tesis para lograr un
procesamiento de evidencia y tener una solución práctica, la cual provee a los usuarios
información sobre la evidencia de manera inmediata, el software proporciona la identificación
de la fuente de los metadatos, los resultados obtenidos que en la mayoría de los casos se logró
demostrar que es de una gran utilidad identificar los metadatos en las imágenes proporcionando
con éxito la mayoría de los objetivos a cumplir, ya que fueron identificados los datos críticos
los cuales son la principal fuente de comprobación en la materia.
También se detectaron en más de un caso diferencias después del análisis en cuanto al mismo
campo meta-tag ya que esto depende específicamente del proveedor y cambios en Exif, por
ejemplo agregando meta tags que no se tenían en cuanta o la modificación del campo en formato
de algún dato por ejemplo la fecha, por lo tanto muchos de los fabricantes no necesariamente
siguen un estándar o una especificación, esto compromete de manera significativa el análisis en
cuanto a metadatos desde su fuente de adquisición ya que puede llegar a haber incongruencias
entre algún estándar o especificación analizada. la herramienta también puede ser utilizada por
más de un usuario en la materia para lograr contrastar resultados con diferencia de herramientas.
La aplicación de escritorio SAFI se desarrolló con el objetivo de sentar las bases ya sea para
lograr demostrar la fuente de adquisición por lo que se concluye logro objetivos del
procesamiento de manera satisfactoria y cumplió con fácil operación y tomando en cuenta las
necesidades para generar de forma rápida y expedita un archivo que contenga un listado de
metadatos qué son de gran utilidad tomando en cuenta que es punto esencial dentro la
transmisión de lo que contiene una imagen que pudiera ser parte de evidencia.
25
5.Apéndice A
Entrevista con la PDI (Policia de investigacon de Chile).
Información del perito informático PDI
Nombre: Marcelo Ziem Cortes.
Cargo: Perito Informática. Carrera de especialización: Ingeniero en Informática.
Trayectoria profesional: 11 años de experiencia 1era generación de peritos de PDI.
Carrera dentro de la PDI: Perito desde su ingreso.
Jefe inmediato superior: Marcelo Alvares Vásquez.
Introducción
Los delitos tipificados en la Ley 19.223 consideran como un bien jurídico la calidad, la pureza
e idoneidad de la información que está contenida en cualquier sistema automatizado de
tratamiento de la información. Además, no solo se protege el bien mencionado anteriormente,
sino que también los siguientes:
El patrimonio, en el caso de los fraudes informáticos. La privacidad, intimidad y
confidencialidad de los datos, en el caso de espionaje informático. La seguridad y fiabilidad del
tráfico jurídico y probatorio, en el caso de falsificaciones de datos probatorios mediante algún
sistema o medio informático. El derecho de propiedad sobre la información y sobre los
elementos físicos y material es de un sistema de información, en el caso de los delitos de daños.
Primero que nada, para el proceso de la evidencia se sacan metadatos de todos los tipos de
archivos para imágenes diferencian entre los metadatos que son parte del sistema archivo como
lo son las fechas de liberación, unificación, todo lo que tiene que ver con el nombre la ruta y los
otros tipos de metadatos que son los que almacenan el archivo como tal dentro de su estructura.
Los metadatos permiten procesar las imágenes y se genera un listado de toda esa información,
lo cual es importante para los forenses ya que en el caso de las imágenes las fechas que se
almacenan en el sistema archivo van a depender de la configuración del sistema operativo por
lo que si viene mal configurada la zona horaria por ejemplo, las fechas van a quedar alteradas,
en cambio cuando se usa como guía con los datos exif, hay mayor probabilidad de que los datos
sean correctos ya que generalmente la cámara está bien configurada y se concluye que esa fecha
26
y hora registrada es la correcta dado que hay un texto dentro de la estructura del archivo. Por lo
tanto, los metadatos nos permiten:
Entregarlo como un listado donde la configuración depende del formato del archivo, ósea el
nombre del archivo y en columnas distintas la fecha. 2.-En otro archivo que se porte se sacan
los datos del sistema archivo que también te entrega en forma de lista o por pestañas donde se
coloca la imagen y los datos. Lo anterior se hace con un software encase o software fkt, en muy
pocas ocasiones se utilizan software online por como distribuyen la información. Lo engorroso
para los forenses es la forma de presentarlo de una manera más concisa ya que dentro del análisis
se llegan a procesar de 3000 hasta 85,000 imágenes, entonces presentar un análisis de tantas
imágenes mediante exift es bastante complejo. Lo más interesante y útil de encontrar en el
reporte sería poder incorporar las coordenadas de la información gps, un reporte lo más gráfico
y visualmente más atractivo para que sea más fácil presentarlo e interpretarlo. El mayor
problema que tiene los peritos es precisamente la forma en que se presenta el reporte óseo, la
presentación visual, los datos se obtienen, pero la presentación es importante.
1.- ¿Cómo se le notifica al perito que tiene que procesar una evidencia?
La fiscalía da la instrucción judicial o la unidad policial a través de un oficio petitorio, ósea a
través de un documento. En el documento se expresa que es lo que se está buscando, que tipo
de indicios específicamente y los peritos determinan que tipo de información se va a entregar,
por lo general los metadatos siempre se sacan.
2.- ¿Qué metodología o flujo utiliza para procesar la evidencia?
Se debe hablar del flujo en general ya que se trabajan con muchas y distintas normas nacionales
e internacionales que usan todos los policías, entonces, lo principal es la identificación de
acuerdo a la solicitud se ve que es lo que se tiene que periciar después se genera una imagen
forense de los dispositivos de almacenamiento con el fin de protegerlo a través de software,
hadware especializado que tienen servidores de datos que permiten no alterarlo ya que es
evidencia, una vez que se hace la adquisición se procesa la imagen forense y se extraen los
archivos o indicios de acuerdo a la solicitud por ejemplo para el caso de pornografía infantil y
específicamente para imágenes y videos los forenses después de procesarlos los visualizan y
27
analizan si es que tiene información de contenido sexual y se van seleccionando para después
extraer los metadatos que serán guardados en un disco duro o en un disco compacto, después se
pasa al reporte que contiene la presentación de resultados el cual se hace según el formato según
el escrito donde se expresan cronológicamente todos los pasos que se siguieron y eso va de la
mano con un disco que va adjunto con el informe y otro se mantiene en custodia la cual se
resguarda, se sella , se rotula y es la que acompañara siempre la evidencia nueva que se genere
en el futuro de la investigación. Para el caso de vídeos, los forenses informáticos de ser posible,
recuperan y guardan videos que posteriormente esa evidencia se pasa a la siguiente sección para
su análisis que son sonido y audiovisual ya que ellos son los que se encargan de procesar videos.
Se pueden mejorar procesar o sacar más información de las personas o conocer la secuencia de
la posición geográfica de la persona a través de imágenes, trabajan dibujo y perimetría para
saber el posicionamiento geográfico.
3.- ¿En caso de tratar con imágenes que técnicas análisis utilizan?
No se tiene en específico una técnica para el procesamiento de imágenes gráficas.
4.- ¿Qué softwares utilizan para procesar las imágenes y vídeos?
95% Encase forensic y 5% FTK de accessdata.
5.- ¿Cuáles son los criterios para elegir una imagen como evidencia o para descartarla?
Por lo general como laboratorio no se descarta, lo que se hace es sólo procesarlas y después se
ponen a disposición del investigador, ya sea una unidad policial o sea una fiscalía o un tribunal
y ellos son los que la aceptan y presentan ante el tribunal o la descartan. Como anteriormente se
mencionó, peritos informáticos sólo entregan los resultados a disposición a no ser que sean
imágenes que se descarten por ser parte del sistema operativo, por ejemplo en el caso de fraude
o pornografía se pueden encontrar archivos en el sistema que no sirvan, sólo en esos casos se
descarta. Quien descarta o acepta evidencia es el fiscal o el tribunal.
28
6.- Al momento de tratar con metadatos en las imágenes ¿se sigue algún protocolo en
específico? ¿Qué protocolos siguen?
Los protocolos no tienen nombre en específico reportamos lo que encontramos al momento de
la pericia.
7.- De acuerdo con el Instructivo de LACRIM los informes periciales se entregan en
formato PDF En cuanto a un informe sobre el peritaje de una imagen ¿cómo es la
composición del informe?
La sección fotografía fija el sito-suceso y en muy pocas ocasiones procesan imágenes a no ser
que pidan un acercamiento o un tipo de mejora de imagen, pero en cuanto al procesamiento de
imágenes como evidencia pasan a infoingeniería o audiovisual dependiendo el caso. Los peritos
informáticos lo presentan en un disco compacto ya que no sólo e suma imagen, son miles de
imágenes por lo tanto no es óptimo ni viable presentarlas impresas o en algún tipo de archivo
por eso es que se prefiere el disco el cual se identifica correctamente para adjuntar en el informe
pericial y se levanta otra copia que queda en custodia como evidencia formal. En forma impresa
se genera solo una copia del informe que, si va impreso ya que se necesitan varias firmas, pero
el informe original y completo únicamente va en disco. Además del informe original en una
hoja excel detalle de todos los metadatos del archivo tanto de los exif como del sistema archivo.
La sección de electro ingeniería se encarga de analizar los teléfonos celulares. En el caso de
peritos informáticos electrónicos y telecomunicaciones para computadoras y medios de
almacenamiento.
8.-A usted como perito, al realizar el análisis de una imagen con metadatos: ¿Qué le
gustaría que la herramienta contenga para facilitar y agilizar su trabajo e informes?
Una herramienta que sea compatible con la mayor cantidad de formatos y que la forma de
presentar los resultados sea de una manera fácil de digerir no sólo para los peritos sino también
para las personas o demás áreas que los van a revisar ya que son miles de imágenes y por lo
tanto muchísima información lo ideal es que genere un archivo como reporte que se pueda
imprimir para poder mostrar físicamente ante un tribunal.
29
9- ¿Cómo proceden con las imágenes que proceden de alguna red Social?
Se puede extraer toda la información necesaria desde una red social, se accede con el usuario y
contraseña de la persona, pero para el análisis de imágenes no hay mucho que hacer ya que los
metadatos son parte de la estructura del archivo y algunas redes sociales dejan a la imagen sin
metadatos.
10.- ¿Se puede extraer información previamente borrada de una red social?
No, ya que es un medio que esta administrado directamente por el proveedor. Lo que se puede
hacer es revisar el equipo del usuario para ver si queda algún archivo temporal o si queda algún
otro tipo de registro que te permita obtener información. Si se sospecha que existe información
importante que pudo ser borrada de una red social se tendría que acudir con la interpol para
pedir algún registro que se tenga de forma interna que no está disponible para de ningún tipo de
usuario en la PDI existen áreas que tienen contacto directo. Se pueden pedir conexiones o
incluso hasta imágenes como algún tipo de respaldo.
11.- ¿Qué normas de calidad de siguen?
• ISO 9001
• ISO 2015
• ISO 17,025
• ISO 27,001 se siguen buenas prácticas de esta norma.
30
6. Apéndice B
31
Referencias Acevedo, Andrés Alberto (2017). Aplicación de la Técnica Error Level Analysis y metadatos
para el estudio forense de imágenes producidas por dispositivos móviles.
Beck, K. (2004). Extreme programming: A gentle introduction. URL http://www.
extremeprogramming.org.
Bray, Tim, Paoli, Jean, Sperberg-McQueen, C Michael, Maler, Eve & Yergeau, Fran\ccois
(1997). Extensible markup language (XML).. World Wide Web Journal, 2, 27-66.
Cabrera, Guillermo Jaramillo (2011). Técnicas de análisis forense digital aplicadas a
dispositivos y sistemas móviles. Apuntes de Ciencia & Sociedad, 1,.
Camera & Imaging Products Association. (2010). Exchangeable image file format for digital
still cameras: Exif Version 2.3. CIPA DC-008 Translation-2010.
Casey, Eoghan (2011). Digital evidence and computer crime: Forensic science, computers, and
the internet. Academic press.
Cruz Monroy Filiberto(05 de febrero de 2013). Localización satelital: delincuentes detenidos
por teléfono. Excelsior, recuperado de
http://www.excelsior.com.mx/2013/02/05/comunidad/882712.
Ditrendia. (2017). Mobile en España y en el Mundo (Número de la publicación). Recuperado
de https://www.amic.media/media/files/file_352_1289.pdf.
Dublin Core Metadata Initiative & others (2004). DCMI metadata terms.
http://dublincore.org/documents/dcmi-terms/.
32
Fernandez, Alarcon Vicent. (2006). Desarrollo de sistemas de información Primera Edición..
Universidad Politécnica de Cataluya.
González, David Manuel Arenas (2011). Análisis forense de imágenes de móviles mediante el
uso de metadatos. Universidad Complutense de Madrid, Tesis de Máster, 13507.
Gutiérrez, LE (2010). Arquitectura Software. Investigación Aplicada a la Construcción de
Marcos de Trabajo-Bucaramanga, Colombia:(Sic) Editorial Ltda,.
Harvey, P. (2010). ExifTool by Phil Harvey. Retrieved on January, 20, 2010.
Hoffman, M. T. (1998). U.S. Patent No. 5,761,655. Washington, DC: U.S. Patent and
Trademark Office.
Huerta, Antonio Villalón & others (2018). Seguridad en Unix y redes. Versión, 1, 81.
Incorporated, A. S. ( 2005). XMP Specification. Obtenido de https://www.adobe.com/.
Kuchling, Andrew. Interview with Guido van Rossum. Linux Journal 1998 Nov # 55 [seriada
en línea]
http://www.linuxjournal.com/article/2959 [consultado: 18 de octubre de 2017].
Maganto, Alejandra Sánchez, Iso, Javier Nogueras & Ballari, Daniela (2008). Normas sobre
Metadatos (ISO 19115, ISO 19115-2, ISO 19139, ISO 15836). Mapping, 123, 48-57.
Marcella Jr, Albert & Menendez, Doug (2007). Cyber forensics: a field manual for collecting,
examining, and preserving evidence of computer crimes. Auerbach Publications.
Metadata Working Group.(2010).Recuperado de:
http://www.metadataworkinggroup.org/pdf/mwg_guidance.pdf.
33
Pfleeger, Charles P & Pfleeger, SL (1997). Security in computing. Upper Saddle River, NJ:
Prentice Hall.
Procuraduria General de Justicia (2016). Federal. Gaceta Oficial del Distrito Federal, 14,.
Quinto Huaman, Carlos, Armas Vega, Esteban Alejandro, Sandoval Orozco, Ana Lucila &
Garcia Villalba, Luis Javier (2016). Análisis de metadatos en videos digitales de dispositivos
móviles.
Riverbank Computing. (2018). Riverbank | Software | PyQt | What is PyQt?. Recuperado de
https://riverbankcomputing.com/software/pyqt/intro
Tocados Cano, Juan Miguel (2015). Metodología para el desarrollo de procedimientos periciales
en el ámbito de la inform\'atica forense.
Two pilots (2018) Exif Pilot Recuperado de http://www.colorpilot.com/exif.html
Urbina, G. B., Soto, P. F. S., & Gonzaga, E. A. (2012). Administración Informática I: Análisis
y Evaluación de
Tecnologías de Información.Grupo Editorial Patria pp.74- 89.
Wiggins, R. H., Davidson, H. C., Harnsberger, H. R., Lauman, J. R., & Goede, P. A. (2001).
Image file formats: past, present, and future. Radiographics, 21(3), 789-798.
ZonaGPS. ¿Qué es el GPS ? – [Cited 14 de Mayo de 2018]. Disponible desde Internet: <
http://www.zonagps.com/index.php?option=com_content&task=view&id=25&Itemid=50& >
Zuccardi, Giovanni & Gutierrez, Juan David(2015). ¿Qué queremos proteger? ¿De qué nos
queremos proteger?
