Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Todas las organizaciones deben prepararse para crímenes cibernéticos ocurriendo en sus
sistemas de cómputo y dentro de sus redes. Actualmente se ha incrementado la demanda
de analistas quienes puedan investigar crímenes como fraudes, amenazas internas,
espionaje industrial, inadecuado uso de los empleados, e intrusiones de computadoras.
Las agencias del gobierno también requieren personal debidamente entrenado para
analizar sistemas Windows.
La Informática Forense
¿De qué se trata? Mediante sus procedimientos se identifican, aseguran, extraen,
analizan y presentan pruebas generadas y guardadas electrónicamente para que
puedan ser aceptadas en un proceso legal.
Las distintas metodologías forenses incluyen la captura segura de datos de diferentes
medios digitales y evidencias digitales, sin alterar la información de origen.
Gracias a este proceso, la informática forense aparece como una “disciplina auxiliar”
de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos
informáticos, así como garante de la verdad utilizando la “evidencia digital”.
¿Funciona?
Durante julio de este año se conoció el caso de la profesora venezolana, Carmen
Cecilia Nares Castro, acusada de desestabilizar el mercado bancario de su país, a
través del sistema Twitter.
Durante el proceso, investigado con informática forense, fueron analizados su
computadora, su conexión a Internet, su teléfono Nokia y todos aquellos elementos
que la pudieran vincular a la violada cuenta en la red social.
Otra investigación llevada a cabo por el Munk Centre for International Studies de la
Universidad de Toronto (Canadá) y el Departamento de Ciencias de la Computación
de la Universidad de Cambridge (Inglaterra), logró dejar al descubierto en abril de
2009 a una red de espionaje cibernético que operaba en 103 países.
Del mismo modo, en diciembre del año pasado se conoció el caso de un hombre que
amenazó de muerte al hijo menor del presidente Álvaro Uribe a través Facebook.
Este individuo apareció en un grupo de la red social, donde indicaba textualmente:
“Me comprometo a matar a Jerónimo Alberto Uribe, hijo de Álvaro Uribe”.
Tras cinco meses de investigación en Internet, el hombre fue detenido y puesto bajo
la justicio ordinaria. Todo, gracias a las acciones realizadas por los forenses
informáticos de ese país.
LA IMPORTANCIA DE LA
INFORMÁTICA FORENSE
Hoy en día, además de las protecciones que tenemos al alcance de nuestra mano como pueden ser los
antivirus entre otros softwares de seguridad, contamos con otras alternativas que, en cierta forma,
aumentan la seguridad de nuestros sistemas informáticos y entre esas alternativas se encuentra la
informática forense.
Tal como explican los expertos, la informática forense es una ciencia que consiste en la adquisición,
preservación, consecución y presentación de datos que han sido procesados electrónicamente con
anterioridad y que han sido guardados en un medio de almacenamiento físico.
El papel que tiene la informática forense es principalmente preventivo y nos ayuda, mediante
diferentes técnicas, a probar que los sistemas de seguridad que tenemos implementados son los
adecuados para poder corregir errores y poder mejorar el sistema además de conseguir la elaboración
de políticas de seguridad y la utilización de determinados sistemas para poder mejorar tanto el
rendimiento como la seguridad del sistema de información.
En caso de que el sistema de seguridad haya sido burlado, con la informática forense se consigue poder
realizar un rastro y detectar no sólo cómo se ha conseguido burlar el sistema (lo que ayudará a parchear
ese fallo para evitar que esto vuelva a suceder) sino que también se puede conocer el nivel de daño
que la amenaza haya conseguido realizar.
También se consiguen recopilar pistas electrónicas, detectar desde dónde se ha producido el ataque o
si ha hecho alguna clase de cambio en el sistema como manipulación o robo de datos, instalación de
algún archivo malicioso, alteración de los archivos del disco duro, etc.
Esto se ha convertido en una ciencia indispensable para la seguridad informática de muchas empresas
y también en un estupendo aliado para las fuerzas de seguridad del Estado dado que también permite
la recopilación de evidencias encontradas para localizar y detener a la persona o personas que han
accedido a un sistema informático sin autorización, a aquellas que roban información confidencial o
borran datos, etc.
Dado que hoy en día el valor de los datos e información sensible tanto de gobiernos como empresas o
a nivel particular, va en aumento, es muy importante protegerla al máximo y por ello, la informática
forense se ha convertido en uno de los más sólidos aliados para ello, razón por la cual es necesaria la
realización de auditorías en los sistemas de forma periódica.
Asimismo, algo que se debe tener muy en cuenta, es que es realmente necesario el establecimiento de
políticas de seguridad para todos los usuarios así como la utilización de los sistemas de información
para poder reducir al máximo la posibilidad de que exista alguna clase de fallo de seguridad o “puerta
abierta” que pueda producirse por error por parte de los usuarios.
Autopsy 4 permite realizar una investigación forense digital. Es una interfaz gráfica para The
Sleuth Kit y otras herramientas.
Las características principales de Autopsy 4 incluyen: importar fuentes de datos (imagen, disco,
archivos) y explorar estos sistemas de archivos, ejecutar módulos de análisis (asimilación),
visualizar resultados de asimilación, visualizar contenido y generar reportes.
Toda la data está organiza alrededor del concepto de un caso. Un caso puede tener cargada
uno o más fuentes de datos en el.
Requisitos Previos
Tipos de Despliegue
Usuario Simple: Los casos pueden ser abiertos por sólo una simple instancia de
Autopsy a la vez. Las instalaciones de Autopsy no se comunican la una con la otra. Esta
es la manera más fácil de instalar y desplegar Autopsy.
Usuarios Múltiples: Los casos pueden ser abiertos por múltiples usuarios al mismo
tiempo, y los usuarios pueden ver las acciones de otros usuarios. Este despliegue
colaborativo requiere la instalación y configuración de otros servicios basados en red.
La instalación de este despliegue es abarcado en “Ajustar un Entorno de Usuarios
Múltiples” de la Documentación de Usuario de Autopsy.
relevante en fuentes de datos como imágenes de discos duros, memorias USB, capturas
cuenta con una interfaz gráfica conocida como Autopsy que agrupa todas sus
herramientas y plugins, cuya versión para Windows se utilizará en este post. Cuando se
abre Autopsy la primer tarea que se debe llevar a cabo es, o bien crear un nuevo caso,
o abrir uno existente, donde un caso es la unidad lógica que contendrá todo lo
como su nombre y número y la persona que examinará los datos. El siguiente paso
consiste en asociar al caso uno o más orígenes de datos, entre los cuales se encuentran
los discos físicos conectados a la computadora de análisis, o una imagen forense que se
las herramientas que hemos visto en otros posts. Como último paso para la creación del
caso, debe configurarse los módulos a utilizar para el análisis, lo cual se observa en la
siguiente imagen:
Estos módulos son los que permitirán el descubrimiento de información relevante y
se describen a continuación:
Hash Lookup: permite agregar bases de datos con valores de hash para archivos
conocidos, como los archivos del sistema operativo o de aplicaciones instaladas. Así,
puede ahorrarse mucho tiempo al evitar realizar búsquedas en estos archivos conocidos.
Keyword Search: puede definirse una lista de palabras clave o expresiones regulares a
buscar en todo el disco. Como se observa en la imagen anterior, Autopsy ya viene con
una lista de expresiones regulares incluidas para búsqueda de números telefónicos,
direcciones IP, direcciones de correo electrónico y URL.
A partir de este momento comienza en forma automática el análisis con los módulos
llama Mr. Evil. Luego, a partir de simple inspección y del análisis del registro de
el nombre bajo el cual fue registrado el sistema operativo, las aplicaciones instaladas,
los documentos del usuario a investigar o el último usuario que inició sesión. También
que si bien en este caso es irrelevante, permite ver la capacidad de obtener archivos
función muy interesante de Autopsy es aquella que agrupa los archivos en categorías,
encuentra una herramienta para romper contraseñas. Además, se han encontrado 288
coincidencias para la palabra illegal, lo cual puede develar información muy útil en el
cualquier otro tipo de archivo que conecte al sujeto investigado con actividades
ilegales.
Para finalizar este análisis es importante mencionar que los resultados obtenidos
pueden ser exportados a documentos HTML, entre otros formatos ofrecidos, para
Autopsy. En este post se ha utilizado una imagen forense de prueba del proyecto
CFReDS para los análisis realizados; en particular, esta imagen contiene evidencia con la
cual se debe probar que el sujeto está involucrado en la captura ilegal de paquetes de
red y el robo de contraseñas. Se observa que las posibilidades en el análisis son muy
electrónicos.