INFORMATICA FORENSE

Todas las organizaciones deben prepararse para crímenes cibernéticos ocurriendo en sus
sistemas de cómputo y dentro de sus redes. Actualmente se ha incrementado la demanda
de analistas quienes puedan investigar crímenes como fraudes, amenazas internas,
espionaje industrial, inadecuado uso de los empleados, e intrusiones de computadoras.
Las agencias del gobierno también requieren personal debidamente entrenado para
analizar sistemas Windows.

La Informática Forense
¿De qué se trata? Mediante sus procedimientos se identifican, aseguran, extraen,
analizan y presentan pruebas generadas y guardadas electrónicamente para que
puedan ser aceptadas en un proceso legal.
Las distintas metodologías forenses incluyen la captura segura de datos de diferentes
medios digitales y evidencias digitales, sin alterar la información de origen.

Las evidencias digitales recabadas permiten elaborar un dictamen fundamentado y

con justificación de las hipótesis que en él se barajan a partir de las pruebas
recogidas.

Gracias a este proceso, la informática forense aparece como una “disciplina auxiliar”
de la justicia moderna, para enfrentar los desafíos y técnicas de los intrusos
informáticos, así como garante de la verdad utilizando la “evidencia digital”.

¿Funciona?
Durante julio de este año se conoció el caso de la profesora venezolana, Carmen
Cecilia Nares Castro, acusada de desestabilizar el mercado bancario de su país, a
través del sistema Twitter.
Durante el proceso, investigado con informática forense, fueron analizados su
computadora, su conexión a Internet, su teléfono Nokia y todos aquellos elementos
que la pudieran vincular a la violada cuenta en la red social.

Gracias a ello se puedo esclarecer la inocencia de la profesional, quien “no había

ningún elemento en contra de mi cliente donde se determinen culpabilidad”, según
su abogado.

Otra investigación llevada a cabo por el Munk Centre for International Studies de la
Universidad de Toronto (Canadá) y el Departamento de Ciencias de la Computación
de la Universidad de Cambridge (Inglaterra), logró dejar al descubierto en abril de
2009 a una red de espionaje cibernético que operaba en 103 países.

El malware que usaba GhostNet permitía controlar a distancia los ordenadores de

varios gobiernos y compañías privadas -infectados con él- pudiendo obtener
documentos, activar la webcam y el micrófono entre otras cosas.

Del mismo modo, en diciembre del año pasado se conoció el caso de un hombre que
amenazó de muerte al hijo menor del presidente Álvaro Uribe a través Facebook.
Este individuo apareció en un grupo de la red social, donde indicaba textualmente:
“Me comprometo a matar a Jerónimo Alberto Uribe, hijo de Álvaro Uribe”.

Tras cinco meses de investigación en Internet, el hombre fue detenido y puesto bajo
la justicio ordinaria. Todo, gracias a las acciones realizadas por los forenses
informáticos de ese país.

LA IMPORTANCIA DE LA
INFORMÁTICA FORENSE

Hoy en día, además de las protecciones que tenemos al alcance de nuestra mano como pueden ser los
antivirus entre otros softwares de seguridad, contamos con otras alternativas que, en cierta forma,
aumentan la seguridad de nuestros sistemas informáticos y entre esas alternativas se encuentra la
informática forense.

Tal como explican los expertos, la informática forense es una ciencia que consiste en la adquisición,
preservación, consecución y presentación de datos que han sido procesados electrónicamente con
anterioridad y que han sido guardados en un medio de almacenamiento físico.

Su objetivo es la investigación de sistemas de información para poder detectar cualquier clase de

evidencia de vulnerabilidad que puedan tener. Asimismo se persiguen diferentes objetivos de
prevención, intentando anticiparse a lo que pudiera pasar así como establecer una solución rápida
cuando las vulnerabilidades ya se han producido.

El papel que tiene la informática forense es principalmente preventivo y nos ayuda, mediante
diferentes técnicas, a probar que los sistemas de seguridad que tenemos implementados son los
adecuados para poder corregir errores y poder mejorar el sistema además de conseguir la elaboración
de políticas de seguridad y la utilización de determinados sistemas para poder mejorar tanto el
rendimiento como la seguridad del sistema de información.

En caso de que el sistema de seguridad haya sido burlado, con la informática forense se consigue poder
realizar un rastro y detectar no sólo cómo se ha conseguido burlar el sistema (lo que ayudará a parchear
ese fallo para evitar que esto vuelva a suceder) sino que también se puede conocer el nivel de daño
que la amenaza haya conseguido realizar.

También se consiguen recopilar pistas electrónicas, detectar desde dónde se ha producido el ataque o
si ha hecho alguna clase de cambio en el sistema como manipulación o robo de datos, instalación de
algún archivo malicioso, alteración de los archivos del disco duro, etc.

Esto se ha convertido en una ciencia indispensable para la seguridad informática de muchas empresas
y también en un estupendo aliado para las fuerzas de seguridad del Estado dado que también permite
la recopilación de evidencias encontradas para localizar y detener a la persona o personas que han
accedido a un sistema informático sin autorización, a aquellas que roban información confidencial o
borran datos, etc.

Dado que hoy en día el valor de los datos e información sensible tanto de gobiernos como empresas o
a nivel particular, va en aumento, es muy importante protegerla al máximo y por ello, la informática
forense se ha convertido en uno de los más sólidos aliados para ello, razón por la cual es necesaria la
realización de auditorías en los sistemas de forma periódica.
Asimismo, algo que se debe tener muy en cuenta, es que es realmente necesario el establecimiento de
políticas de seguridad para todos los usuarios así como la utilización de los sistemas de información
para poder reducir al máximo la posibilidad de que exista alguna clase de fallo de seguridad o “puerta
abierta” que pueda producirse por error por parte de los usuarios.

Autopsy 4 permite realizar una investigación forense digital. Es una interfaz gráfica para The
Sleuth Kit y otras herramientas.

Las características principales de Autopsy 4 incluyen: importar fuentes de datos (imagen, disco,
archivos) y explorar estos sistemas de archivos, ejecutar módulos de análisis (asimilación),
visualizar resultados de asimilación, visualizar contenido y generar reportes.

Autopsy 4 es una aplicación ampliable, proporciona un framework el cual permite a otros

proporcionar plug-ins y proveer asimilación adicional de la imagen y archivo para nuevos tipos
de análisis, visores de contenido variado y diferentes tipos de reportes. Estos plug-ings para
varios módulos de asimilación, visores y reportes son incluidos por defecto con Autopsy 4.

Toda la data está organiza alrededor del concepto de un caso. Un caso puede tener cargada
uno o más fuentes de datos en el.

Requisitos Previos

Es altamente recomendable remover o deshabilitar cualquier software antivirus desde las

computadoras en las cuales se procesarán o revisarán casos. Frecuentemente el software
antivirus podría crear conflicto con el software forense, y puede poner en cuarentena o incluso
borrar algunos de los resultados antes de tener la oportunidad de analizarlos.

Tipos de Despliegue

Iniciando con Autopsy 4.0 existen dos manera de desplegar Autopsy.

 Usuario Simple: Los casos pueden ser abiertos por sólo una simple instancia de
Autopsy a la vez. Las instalaciones de Autopsy no se comunican la una con la otra. Esta
es la manera más fácil de instalar y desplegar Autopsy.

 Usuarios Múltiples: Los casos pueden ser abiertos por múltiples usuarios al mismo
tiempo, y los usuarios pueden ver las acciones de otros usuarios. Este despliegue
colaborativo requiere la instalación y configuración de otros servicios basados en red.
La instalación de este despliegue es abarcado en “Ajustar un Entorno de Usuarios
Múltiples” de la Documentación de Usuario de Autopsy.

El análisis forense digital permite la identificación y descubrimiento de información

relevante en fuentes de datos como imágenes de discos duros, memorias USB, capturas

de tráfico de red, o volcados de memoria de computadoras. Hace algunas semanas

estuvimos analizando en qué consiste el análisis forense de la información y hoy se

aplicarán estas capacidades a través de la suite Autopsy.

The Sleuth Kit es un conjunto de herramientas open source para el análisis de

imágenes de discos. Inicialmente desarrollada para plataformas UNIX, esta suite

actualmente se encuentra disponible también para OS X y Windows. Además, TSK

cuenta con una interfaz gráfica conocida como Autopsy que agrupa todas sus

herramientas y plugins, cuya versión para Windows se utilizará en este post. Cuando se

abre Autopsy la primer tarea que se debe llevar a cabo es, o bien crear un nuevo caso,

o abrir uno existente, donde un caso es la unidad lógica que contendrá todo lo

relacionado a la investigación. Por lo tanto, al crear un caso se ingresa información

como su nombre y número y la persona que examinará los datos. El siguiente paso

consiste en asociar al caso uno o más orígenes de datos, entre los cuales se encuentran

los discos físicos conectados a la computadora de análisis, o una imagen forense que se

ha adquirido previamente de la computadora a ser investigada, con cualquiera de

las herramientas que hemos visto en otros posts. Como último paso para la creación del

caso, debe configurarse los módulos a utilizar para el análisis, lo cual se observa en la

siguiente imagen:
 Estos módulos son los que permitirán el descubrimiento de información relevante y

se describen a continuación:

 Recent Activity: extrae la actividad reciente que se ha realizado en la computadora bajo

investigación. Esto incluye los documentos recientemente abiertos, dispositivos
conectados, historial web, cookies, descargas y marcadores, por ejemplo.

 Hash Lookup: permite agregar bases de datos con valores de hash para archivos
conocidos, como los archivos del sistema operativo o de aplicaciones instaladas. Así,
puede ahorrarse mucho tiempo al evitar realizar búsquedas en estos archivos conocidos.

 Archive Extractor: permite recuperar archivos eliminados, basándose en los metadatos

residuales que quedan en el disco, así como también recuperar archivos en espacios no
asignados en el disco, mediante la detección de los encabezados de archivos.

 Exif Image Parser: permite analizar la información disponible en el encabezado Exif de

los archivos de imagen JPEG que se encuentran en el disco. Esto provee información
acerca de la cámara con que se tomó la imagen, fecha y hora o la geolocalización, entre
otras cosas.

 Keyword Search: puede definirse una lista de palabras clave o expresiones regulares a
buscar en todo el disco. Como se observa en la imagen anterior, Autopsy ya viene con
una lista de expresiones regulares incluidas para búsqueda de números telefónicos,
direcciones IP, direcciones de correo electrónico y URL.

A partir de este momento comienza en forma automática el análisis con los módulos

seleccionados para la imagen forense cargada en el caso. El progreso de cada etapa se

muestra en la parte inferior derecha y los resultados se van actualizando en la vista de

árbol, como se observa en la siguiente imagen:

Se observa que Autopsy realiza la extracción de contenido muy
valioso para una investigación, como el historial web, búsquedas web
realizadas o documentos recientemente abiertos, lo cual demoraría
mucho tiempo y sería tedioso de realizar para el investigador en forma
manual. Luego, en la siguiente imagen se observa el historial web
encontrado una vez que termina el proceso, para la imagen forense de
un disco de prueba:
En este caso se ha resaltado el último resultado, el cual lleva a un
archivo de mIRC con una lista de canales a los que posiblemente se
conectaba el usuario que está siendo investigado. Adicionalmente, el
sistema de archivos presente en la imagen forense puede ser recorrido
de forma jerárquica, pudiendo observar las particiones, así como
también los sectores no asignados en el disco:

En la imagen anterior se observa que el sistema de archivos es de tipo NTFS, que

el sistema operativoaparenta ser Windows XP y que existe un usuario que se

llama Mr. Evil. Luego, a partir de simple inspección y del análisis del registro de

Windows, puede obtenerse información como la zona horaria utilizada,

el nombre bajo el cual fue registrado el sistema operativo, las aplicaciones instaladas,

los documentos del usuario a investigar o el último usuario que inició sesión. También

se observa que se ha recuperado de entre los archivos borrados la carpeta $Unalloc,

que si bien en este caso es irrelevante, permite ver la capacidad de obtener archivos

borrados a partir de sus metadatos. También es importante destacar los sectores no

asignados en el disco (vol1 y vol3) a los cuales Autopsy permite aplicar la técnica

de carving para identificar archivos a partir de los encabezadosmás comunes. Otra

función muy interesante de Autopsy es aquella que agrupa los archivos en categorías,

de tal manera de poder ver rápidamente la cantidad de imágenes, audio o documentos

presentes en el sistema de archivos, clasificado por extensión:

Adicionalmente (aunque no se ve en la imagen anterior) Autopsy

clasifica los archivos de acuerdo con su última fecha de acceso o con
su tamaño, y permite el rápido acceso a los archivos eliminados.

Una técnica fundamental en el análisis de imágenes forenses es

la búsqueda por palabras clave, dado lo poco práctico que resultaría
para un investigador buscar pruebas de un delito inspeccionando
archivo por archivo. Así, Autopsy permite definir un listado de palabras
o expresiones a buscar en todos los archivos y sectores del disco en
análisis, lo cual se observa en la siguiente imagen:
En este caso se ha definido una lista con tres palabras con el objetivo
de encontrar evidencia que conecte al individuo con un caso particular
de hacking. Luego, el proceso de indexado realiza la búsqueda de
estas palabras construyendo un índice y al finalizar el mismo es posible
buscar en forma inmediata cada una de estas palabras clave:
En la imagen se observa que hay 55 hits para la palabra crack y entre los resultados se

encuentra una herramienta para romper contraseñas. Además, se han encontrado 288

coincidencias para la palabra illegal, lo cual puede develar información muy útil en el

caso de que se recuperen conversaciones, correos electrónicos almacenados o

cualquier otro tipo de archivo que conecte al sujeto investigado con actividades

ilegales.

Para finalizar este análisis es importante mencionar que los resultados obtenidos

pueden ser exportados a documentos HTML, entre otros formatos ofrecidos, para

la presentación de lo encontrado en cualquier otro equipo que no cuente con

Autopsy. En este post se ha utilizado una imagen forense de prueba del proyecto

CFReDS para los análisis realizados; en particular, esta imagen contiene evidencia con la

cual se debe probar que el sujeto está involucrado en la captura ilegal de paquetes de

red y el robo de contraseñas. Se observa que las posibilidades en el análisis son muy

variadas, pudiendo descubrir información oculta en el sistema de archivos,

recuperando archivos eliminados, o encontrando palabras clave en chats o correos

electrónicos.