Capítulo 5. Análisis Forence

ANÁLISIS FORENSE
Ing. Francisco Alvarez Pineda
fraalvarez@gmail.com
Análisis forense
Contenido
- Análisis forense informático

- ¿Qué es y para qué sirve el análisis forense informático?
- Tipos de análisis forense
- Principios del análisis forense
- Usos de la informática forense
- Uso de análisis forense
- Manejo de incidentes informáticos
- Metodologías de análisis forense
- Herramientas
- Aspectos legales
Página 2
Análisis forense informático
- Tener una copia exacta de un disco permite al investigador acceder

al sistema de archivos e inspeccionar las cuentas de usuario existentes,
los documentos asociados a un usuario, y los programas instalados, entre
otras cosas. Sin embargo, mediante la utilización de herramientas y suites
forenses, se puede buscar una gran variedad de información que es
difícil de encontrar por simple inspección. En primera instancia, se
puede indexar el contenido del disco de acuerdo con ciertas palabras
clave, pudiendo realizar luego búsquedas de esas palabras, visualizando
los archivos donde se encuentran y su contenido. Por ejemplo, si se
quiere encontrar evidencia de un fraude, se pueden buscar palabras
como “fraude”, “robo” o “soborno”.
Página 3
Análisis forense informático
Evidencia digital
- Todo elemento que pueda almacenar información en formato

electrónico, de forma física o lógica y que permita constatar un hecho
investigado o el esclarecimiento del mismo.
Página 4
Análisis forense
Contenido

- Herramientas
- Aspectos legales
Página 5
¿Qué es y para qué sirve el análisis
forense informático?
¿Qué es?.
- El Inteco (Instituto Nacional de Tecnologías de la Comunicación) define
la informática forense como:
“El proceso de investigación de los sistemas de información para

detectar toda evidencia que pueda ser presentada como
medio de prueba fehaciente para la resolución de un litigo
dentro de un procedimiento judicial.”
- Para Rifá Pous, Serra Ruiz, & Rivas López, (2009)
“Es una ciencia moderna que permite reconstruir lo que ha

sucedido en un sistema tras un incidente de seguridad. Este
análisis puede determinar quién, desde dónde, cómo, cuándo y
qué acciones ha llevado a cabo un intruso en los sistemas
afectados por un incidente de seguridad”.
Página 6
¿Qué es?.
- Desde un punto de vista más empresarial, podríamos ver la informática
forense como un fin:
“La informática forense permite la solución de conflictos

tecnológicos relacionados con seguridad informática y
protección de datos. Gracias a ella, las empresas obtienen una
respuesta a problemas de privacidad, competencia desleal,
fraude, robo de información confidencial y/o espionaje industrial
surgidos a través de uso indebido de las tecnologías de la
información.
Mediante sus procedimientos se identifican, aseguran, extraen,
analizan y presentan pruebas generadas y guardadas
electrónicamente para que puedan ser aceptadas en un
proceso legal.”
Página 7
¿Para qué sirve?.
- Para León Huerta(2009)
“La informática forense, en primer lugar actúa como un sistema preventivo,

siendo de utilidad para auditar mediante la práctica de diversas técnicas
que ayudan a probar que los sistemas de seguridad instalados cumplen
con ciertas condiciones básicas de seguridad; en segundo lugar si el
sistema ha sido penetrado, la informática forense permite realizar el rastreo
de la intrusión y poder descubrir el daño realizado (recopilación de
evidencias electrónicas, origen del ataque, alteraciones realizadas al
sistema, etc.), las mismas que recopilarán las evidencias (e.g. archivos
temporales, hora de encendido de un sistema, etc.) necesarias para
capturar a los criminales que atacaron el sistema y se proceda según las
regulaciones legales de cada país”.
Página 8
¿Para qué sirve?.
- El análisis forense informático permite la aplicación de técnicas y
herramientas para la reconstrucción de pruebas a ser usadas, para la
argumentación científica ante un delito e incidente.
- Caballero, Rambla, & Alonso, (2009) señala que “hay que tener en
cuenta que cuando un usuario no autorizado toma el control de un
sistema, éste puede instalar múltiples ‘puertas traseras’ que le permiten
entrar al sistema en un futuro, aun cuando se corrija la vulnerabilidad
original que le permitió el control del sistema. Será labor del análisis
forense conocer que acciones realizó el atacante en el sistema para
detectar este tipo de actividades”.
Página 9
Análisis forense
Contenido

- Herramientas
- Aspectos legales
Página 10
Tipos de análisis forense
Los tipos de análisis forense según Rifa Pous et al., (2009) dependen del
punto de vista del que se va analizar, entre ellos tenemos:
- Análisis forense de sistemas: Es en el que se tratan los incidentes de

seguridad en servidores y estaciones de trabajo con los sistemas
operativos como MAC OS, Windows, UNIX y sistemas GNU/Linux.
- Análisis forense de redes: Se engloba el análisis de diferentes redes
(cableadas, Wireless, bluetooth, etc.).
- Análisis forense de sistemas embebidos: En este tipo se analizan
incidentes presentados en dispositivos móviles, PDA, etc., ya que un
sistema embebido posee una arquitectura semejante a la de un
ordenador personal.
Página 11
Análisis forense
Contenido

- Herramientas
- Aspectos legales
Página 12
Principios del análisis forense
Acorde a De León(2009) al comenzar un examen forense existen un gran

número de elementos básicos a tomar en cuenta en cada una de las fases
de la informática forense tales como:
- Evitar la contaminación: evitar la incorrecta manipulación de la

evidencia, para evitar una incorrecta interpretación o análisis, esto se
presenta por la premura de realizar las cosas, pues en ocasiones se
manipula el dispositivo que en lo posterior sea desechado como una
prueba.
- Actuar metódicamente: el investigador debe ser el custodio de su propio
proceso, por tanto, cada uno de los pasos realizados, las herramientas
utilizadas, los resultados obtenidos deben estar bien documentados,
aquí se debe establecer responsables, fechas.
Página 13
Principios del análisis forense
- Controlar la cadena custodia: responder a una diligencia y formalidad

especial para documentar cada uno de los eventos que se han
realizado con la evidencia, aquí se debe evitar la manipulación y seguir
los pasos que recomiendan las diferentes metodologías de análisis
forense.
Página 14
Análisis forense
Contenido

- Herramientas
- Aspectos legales
Página 15
Usos de la informática forense
De León(2009) señala que existen varios usos de la Informática Forense,

provenientes de la vida diaria, y no necesariamente están relacionados
con la informática forense, tales como:
- Persecución criminal: evidencia incriminatoria para procesar crímenes

como homicidios, fraude financiero, tráfico y venta de drogas, evasión
de impuestos o pornografía infantil.
- Litigación civil: casos que tratan con fraude, discriminación, acoso y/o
divorcio.
- Investigación de seguros: la evidencia encontrada en computadoras
puede ayudar a las compañías de seguros a disminuir los costos de los
reclamos por accidentes y compensaciones.
Página 16
Usos de la informática forense
- Temas corporativos: acoso sexual, robo, mal uso o usurpación de

información confidencial o propietaria, o espionaje industrial.
- Mantenimiento de la ley: Búsqueda inicial de órdenes judiciales, como la
búsqueda de información una vez se tenga la orden judicial para
realizar una búsqueda exhaustiva.
Página 17
Análisis forense
Contenido

- Herramientas
- Aspectos legales
Página 18
Uso de análisis forense
- El objetivo principal de un investigador forense es identificar a todos los

sistemas controlados por el intruso, comprender los métodos utilizados
para acceder a estos sistemas, los objetivos del intruso y la actividad que
ha desempeñado durante su estancia dentro del sistema
comprometido.
- La información obtenida tiene que ser compartida con el resto de los
miembros del equipo forense, a fin de evitar la pérdida de información
También el objetivo del investigador es la protección del estado de sitio
contra modificaciones para evitar pérdidas de información o pruebas.
- Cada sistema operativo, es un entorno ideal en el cual realizar tareas de
análisis forense pues está dotado de gran variedad de herramientas que
facilitan todas las etapas que se deben llevar a cabo en la realización
de un análisis exhaustivo de un sistema comprometido.
Página 19
Uso de análisis forense
El sistema Linux presenta algunas características que le dotan de grandes

ventajas a la hora de ser utilizado como herramienta de análisis forense de
sistemas. Estas características son:
- Todo, incluido el hardware se trata y representa como un fichero.

- Soporta numerosos tipos de sistemas de archivos, muchos no
reconocidos por Windows.
- Permite montar los sistemas de archivos.
- Permite analizar un sistema en funcionamiento de forma segura y poco
invasiva, dirigir la salida de un comando a la entrada de otros (múltiples
comandos en una línea).
- Permite revisar el código fuente de la mayoría de sus utilidades y generar
dispositivos de arranque.
Página 20
Análisis forense
Contenido

- Herramientas
- Aspectos legales
Página 21
Manejo de incidentes informáticos
- Según la norma ISO 27035

Un Incidente informático es indicado por un único o una serie de eventos
de seguridad de la información indeseada o inesperada, que tienen una
probabilidad significativa de comprometer las operaciones de negocio y
de amenazar la seguridad de la información.
- López Delgado(2007)
Considera a un incidente informático como una violación o intento de
violación de la política de seguridad, de la política de uso adecuado o de
las buenas prácticas de utilización de los sistemas informáticos.
Página 22
Casos que enfrentan los peritos informáticos
Apropiación y difusión de
Acoso a través de las redes
datos o información
Acceso o copia de ficheros sociales, como Facebook,
reservada. Ataques a
de empresa con planos, Twitter, o por medios
sistemas informáticos, tanto
fórmulas, costes, precios, electrónicos, por ejemplo,
internos como externos de
datos de clientes, etc. por correo electrónico o
personas, empresas o de la
SMS.
Administración Pública.
Delitos contra la propiedad

Delitos contra la propiedad intelectual, por ejemplo, por
Delitos contra el mercado o
industrial por espionaje o por copia o difusión de libros en
contra los consumidores.
revelación de secretos. formato digital, de música,
de vídeos, etc.
Delitos económicos o
societarios, como estafas, Uso indebido de la
fraudes, alteración de información por empleados
precios, etc. Usando medios desleales.
electrónicos.
Página 23
Casos que enfrentan los peritos informáticos
Interceptación de las
Inyección de Piratería informática,
telecomunicaciones,
programas infecciosos, por ejemplo, por
por ejemplo, de los
como virus y gusanos, difusión o uso de
[usuarios], de las
dentro de sistemas software sin licencia o
empresas, de los
informáticos. sin autorización.
partidos políticos, etc.
Protección de datos
Publicidad engañosa o Robo de información
personales y de datos
correo electrónico personal, por ejemplo,
reservados de personas
spam. mediante keyloggers.
jurídicas.
Sabotaje y daños por Uso ilegal o abusivo de Valoración de bienes

destrucción de sistemas informáticos. informáticos, tanto
hardware o alteración (Manipulación indebida hardware como
de datos. de programas.) software.
Página 24
Análisis forense
Contenido

- Herramientas
- Aspectos legales
Página 25
Metodologías de Análisis Forense
Tipos de evidencias y orden de volatilidad
- Las evidencias digitales se pueden englobar dentro de dos grandes

grupos. Evidencias volátiles y no volátiles.
- Volátiles = Que cambian (se alteran) con facilidad.

- No volátiles = No cambian con tanta facilidad.
Página 26
Página 27
- Las evidencias volátiles son las que primero tenemos que adquirir, puesto
que nuestras acciones pueden modificar su valor original y desaparecen
al apagar el equipo.
- Las evidencias no volátiles son mas difícilmente alterables, pero nuestras

acciones pueden alterar su valor si no actuamos con cuidado.
Página 28
Página 29
Procedimiento de adquisición de evidencias
Página 30
Acotando la escena del crimen
- Para acotar la escena del crimen, debemos preguntarnos:
Página 31
Acotando la escena del crimen

- Ejemplo 1:
- En un delito de estafa bancaria, el juez nos pide que obtengamos la
fecha y hora en la que fueron creados una serie de archivos de texto.
- Llegamos a la sede del banco y nos encontramos con esto:
Página 32
Acotando la escena del crimen.

- Virtualización
- Se trata de un software que nos permite utilizar el hardware de una
manera más flexible. De esta manera una sola máquina real puede
contener varias máquinas virtuales (varios sistemas operativos corriendo
a la vez y procesando diferentes cosas de manera simultánea).
Página 33

- Ejemplo 1 (continuación):
- Se trata de una granja de servidores que se utilizan para virtualizar
diversos aspectos críticos del banco.
- ¿Qué hacemos? ¿Nos llevamos todo? ¿Nos llevamos algunos al azar?

¿Nos vamos a casa y cambiamos de trabajo?
- En este caso, deberíamos contar con el apoyo del ingeniero

responsable del mantenimiento de los servidores.
- Accederíamos a la consola de administración de las máquinas virtuales

y buscaríamos ¿Cuál es la que se encarga de realizar la tarea que el juez
nos ha pedido?
Página 34
Página 35

- Llegados a este punto, suponiendo que tenemos localizada la máquina
virtual que buscamos, tenemos dos opciones:
1. Nos llevamos el disco duro completo de la máquina virtual.

- Tardaremos más tiempo.
- Necesitaremos más espacio.
- Podemos hacerlo en frío o en caliente en función del sistema que
gestione las máquinas virtuales.
2. Realizamos una adquisición en caliente de los datos que nos interesan.
- Menor tiempo y espacio necesario.
- Nos llevaremos menor cantidad de información.
Página 36

- Ejemplo 2:
- En un delito de pornografía infantil, el juez nos pide que obtengamos los

archivos de contenido pornográfico del equipo.
- Llegamos a la casa del infractor y nos encontramos con esto:
Página 37

- Aparentemente se trata de un ordenador portatil normal, que se
encuentra encendido. ¿Qué hacemos?
- Lo ideal en este caso, sería realizar una adquisición de la memoria RAM y

una adquisición en caliente del contenido del disco duro.
- ¿Por qué? Porque ¿Y si al llegar al laboratorio nos encontramos con que

el equipo no tiene disco duro?
- El equipo se encontraba conectado a un disco duro WiFi y estaba

ejecutando una distribución live de Linux. No tenemos nada.
Página 38

- Ejemplo 3:
- En un delito de revelación de secretos, el juez nos pide que obtengamos
los correos electrónicos enviados desde el equipo.
- Llegamos a la casa del infractor y nos encontramos con esto:
Página 39

- Aparentemente se trata de un ordenador normal, que se encuentra
apagado. ¿Qué hacemos?
- Lo primero, y aunque parezca una tontería, comprobar que está

apagado. Si realmente lo está, hacemos caso a lo indicado en el
procedimiento de adquisición de evidencias:
- Si el equipo está
apagado
Página 40

- Y si el disco está cifrado
Página 41
Adquisición de evidencias.
- Adquirir una evidencia es crear un archivo (lo llamamos archivo de
imagen) que contenga toda la información contenida en la evidencia
original. Incluidos los espacios marcados como vacíos o libres.
- También es posible realizar el clonado de la evidencia, que consiste en

adquirir una evidencia, en lugar de en un archivo, en un dispositivo
similar. Un disco duro, en un disco duro; un pendrive en otro…
- Adquirimos las evidencia porque se trabaja de manera más sencilla con

un archivo que con un dispositivo físico.
Página 42
Página 43
- Adquisición de evidencias volátiles:
- En caliente, con el equipo encendido.
- El principal problema, es que se degradan durante la adquisición.
- Usaremos programas especialmente creados para este tipo de
adquisiciones.
- Los programas que utilicemos deben ser independientes del equipo a
examinar
- Ejemplo adquisición de RAM con DumpIt / FTK Imager
Página 44
- Del análisis de la memoria RAM se puede obtener:
Página 45
- Adquisición de evidencias NO volátiles:
- En frío o en caliente (equipo apagado o encendido).
- Que el equipo pertenezca o no a un sistema crítico que tenga que
mantenerse encendido de manera ininterrumpida.
- Que el dispositivo que pretendemos adquirir se encuentre o no
cifrado. Si lo está puede ser imposible realizar la adquisición en frío.
- Que el equipo se encuentre expuesto a ataques desde el exterior,
lo que puede hacer que las evidencias se alteren durante una
adquisición en caliente .
- Etc.
Página 46
- Adquisición de evidencias NO volátiles:
- Si decidimos realizar la adquisición en caliente, utilizaremos programas

independientes del equipo.
- Si realizamos la adquisición en frío, utilizaremos bloqueadores de
escritura (FastBlock, Ultradock…) para evitar la alteración
Página 47
Otra metodología
Página 48
Análisis forense
Contenido

- Herramientas
- Aspectos legales
Página 49
Herramientas
Herramientas comerciales.
- Access Data's Forensic Toolkit
- Device Seizure:
- AccessData Mobile Phone Examiner Plus:
- Oxygen forensic Suite.
- MOBILedit:
- EnCase Forensic;
Página 50
Herramientas
Herramientas no comerciales.
- The Sleuth Kit open source - Autopsy
- BitPim:
- Android SDK:
- Helix CD:
Página 51
Análisis forense
Contenido

- Herramientas
- Aspectos legales
Página 52
Aspectos legales
Aspectos legales.
- En el Ecuador se registran algunas reformas o leyes a considerarse ante
un incidente o delito informático. A continuación se detalla los
principales puntos a considerarse.
6.10.1. Ley Orgánica de Transparencia y acceso de la información pública
- De acuerdo a la consulta realizada en la Ley Orgánica de Transparencia

y Acceso a La Información Pública(2004) he considerado los siguientes
puntos:
Página 53
Aspectos legales
Aspectos legales.
Art. 2.- Objeto de la Ley.-
- La presente Ley garantiza y norma el ejercicio del derecho fundamental

de las personas a la información conforme a las garantías consagradas
en la Constitución Política de la República, Pacto Internacional de
Derechos Civiles y Políticos, Convención Interamericana sobre Derechos
Humanos y demás instrumentos internacionales vigentes, de los cuales
nuestro país es signatario.
Página 54
Aspectos legales
Aspectos legales.
Persigue los siguientes objetivos
- Cumplir lo dispuesto en la Constitución Política de la República referente

a la publicidad, transparencia y rendición de cuentas al que están
sometidas todas las instituciones del Estado que conforman el sector
público, dignatarios, autoridades y funcionarios públicos, incluidos los
entes señalados en el artículo anterior, las personas jurídicas de derecho
privado que realicen obras, servicios, etc., con asignaciones públicas.
Para el efecto, adoptarán las medidas que garanticen y promuevan la
organización, clasificación y manejo de la información que den cuenta
de la gestión pública;
Página 55
Aspectos legales
Aspectos legales.
- b) El cumplimiento de las convenciones internacionales que sobre la

materia ha suscrito legalmente nuestro país;
- c) Permitir la fiscalización de la administración pública y de los recursos
públicos, efectivizándose un verdadero control social;
- d) Garantizar la protección de la información personal en poder del
sector público y/o privado;
- e) La democratización de la sociedad ecuatoriana y la plena vigencia
del estado de derecho, a través de un genuino y legítimo acceso a la
información pública; y,
- f) Facilitar la efectiva participación ciudadana en la toma de decisiones
de interés general y su fiscalización.
Página 56
Aspectos legales
Aspectos legales.
- b) El cumplimiento de las convenciones internacionales que sobre la

materia ha suscrito legalmente nuestro país;
- Ley de Comercio Electrónico, Firmas electrónicas y mensajes de datos

- Ley Especial de Telecomunicaciones 2011
- Código Penal (Art. 10.-, Art. 202. Art. 415.)
- Código de Procesamiento Penal (Art. 155.- Intercepción y grabaciones,
Art. 156.- Documentos semejantes, Art. 157.- Documentos públicos.)
- Código Orgánico Integral Penal (Artículo 1.- Finalidad, Artículo 174,
Artículo 190, Artículo 232, Artículo 233, Artículo 234.)
Página 57
Aspectos legales
Aspectos legales.
- Artículo 234.- Acceso no consentido a un sistema informático, telemático
o de telecomunicaciones.- La persona que sin autorización acceda en
todo o en parte a un sistema informático o sistema telemático o de
telecomunicaciones o se mantenga dentro del mismo en contra de la
voluntad de quien tenga el legítimo derecho, para explotar
ilegítimamente el acceso logrado, modificar un portal web, desviar o re
direccionar de tráfico de datos o voz u ofrecer servicios que estos
sistemas proveen a terceros, sin pagarlos a los proveedores de servicios
legítimos, será sancionada con la pena privativa de la libertad de tres a
cinco años.
Página 58
Análisis de vulnerabilidades
Bibliografía
Artículo:
- https://es.wikipedia.org/wiki/C%C3%ADrculo_de_Deming
- Guía de Seguridad de la información de modalidad a distancia UTPL

- Universidad Internacional de la Rioja
- http://www.cybsec.com/upload/ADACSI_Ardita_Analisis_Forense_Inform
aticov2.pdf
Página 59

Capítulo 5. Análisis Forence

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capítulo 5. Análisis Forence

Cargado por

Copyright:

Formatos disponibles

ANÁLISIS FORENSE

Ing. Francisco Alvarez Pineda

- Análisis forense informático

- Tener una copia exacta de un disco permite al investigador acceder

- Todo elemento que pueda almacenar información en formato

- Análisis forense informático

“El proceso de investigación de los sistemas de información para

- Para Rifá Pous, Serra Ruiz, & Rivas López, (2009)

“Es una ciencia moderna que permite reconstruir lo que ha

“La informática forense permite la solución de conflictos

“La informática forense, en primer lugar actúa como un sistema preventivo,

- Análisis forense informático

- Análisis forense de sistemas: Es en el que se tratan los incidentes de

- Análisis forense informático

Acorde a De León(2009) al comenzar un examen forense existen un gran

- Evitar la contaminación: evitar la incorrecta manipulación de la

- Controlar la cadena custodia: responder a una diligencia y formalidad

- Análisis forense informático

De León(2009) señala que existen varios usos de la Informática Forense,

- Persecución criminal: evidencia incriminatoria para procesar crímenes

- Temas corporativos: acoso sexual, robo, mal uso o usurpación de

- Análisis forense informático

- El objetivo principal de un investigador forense es identificar a todos los

El sistema Linux presenta algunas características que le dotan de grandes

- Todo, incluido el hardware se trata y representa como un fichero.

- Análisis forense informático

- Según la norma ISO 27035

Delitos contra la propiedad

Sabotaje y daños por Uso ilegal o abusivo de Valoración de bienes

- Análisis forense informático

Tipos de evidencias y orden de volatilidad

- Las evidencias digitales se pueden englobar dentro de dos grandes

- Volátiles = Que cambian (se alteran) con facilidad.

Tipos de evidencias y orden de volatilidad

Tipos de evidencias y orden de volatilidad

- Las evidencias no volátiles son mas difícilmente alterables, pero nuestras

Tipos de evidencias y orden de volatilidad

Procedimiento de adquisición de evidencias

Acotando la escena del crimen

- Para acotar la escena del crimen, debemos preguntarnos:

Acotando la escena del crimen

Acotando la escena del crimen.

Acotando la escena del crimen.

- ¿Qué hacemos? ¿Nos llevamos todo? ¿Nos llevamos algunos al azar?

- En este caso, deberíamos contar con el apoyo del ingeniero

- Accederíamos a la consola de administración de las máquinas virtuales

Acotando la escena del crimen.

1. Nos llevamos el disco duro completo de la máquina virtual.

Acotando la escena del crimen.

- En un delito de pornografía infantil, el juez nos pide que obtengamos los

- Llegamos a la casa del infractor y nos encontramos con esto:

Acotando la escena del crimen.

- Lo ideal en este caso, sería realizar una adquisición de la memoria RAM y

- ¿Por qué? Porque ¿Y si al llegar al laboratorio nos encontramos con que

- El equipo se encontraba conectado a un disco duro WiFi y estaba

Acotando la escena del crimen.

- Llegamos a la casa del infractor y nos encontramos con esto:

Acotando la escena del crimen.

- Lo primero, y aunque parezca una tontería, comprobar que está

Acotando la escena del crimen.

- También es posible realizar el clonado de la evidencia, que consiste en

- Adquirimos las evidencia porque se trabaja de manera más sencilla con

- Ejemplo adquisición de RAM con DumpIt / FTK Imager

- Si decidimos realizar la adquisición en caliente, utilizaremos programas