Fundación universitaria del área andina

Actividad evaluativa eje 4

Presentado por:
Jairo Steven Rodriguez Hernandez
Daniel Camilo Gonzalez Ballen
Nicolas David Rozo Gerena

Presentado a:

Camilo Augusto Cardona Patiño

INFORMATICA FORENSE
Ingeniería de Sistemas
Bogotá D.C
2019
Opinión Nicolas:
Nos encontramos con dos incógnitas planteadas en la actividad.
1. ¿Qué tipo de ataque se ha producido y qué información deberá recopilar
para reconstruir su secuencia temporal?
2. ¿Cómo realizar el análisis?
Para resolver nuestra primera incógnita debemos saber cuales son los tipos de
ataque a tomar en cuenta, para ello resumimos brevemente cada uno de ellos.
Ataques de intercepción: Se puede distinguir cuando los datos de un sistema se
ven afectados en su confidencialidad al ser interceptados por un usuario no
autorizado.
Ataques de interrupción: Este tipo de ataques eliminan o anulan la información e
influyen en su disponibilidad y accesibilidad.
Ataques de modificación: Se puede evidenciar este tipo de ataques cuando un
usuario no autorizado modifica la información que se encuentra en los equipos
afectados, como por ejemplo, la información contenida en una base de datos.
Ataques de fabricación o suplantación: Este tipo de ataque actúa contra la
autenticidad mediante el cual un atacante inserta objetos falsificados en el
sistema. (dirección IP, dirección web, correo electrónico)
Ahora bien, los anteriores tipos de ataques se pueden clasificar como ataques
pasivos y activos. A continuación se relaciona la clasificación de los distintos tipos
de ataques:

Clasificación de ataques Tipos de ataques

Ataques pasivos Ataques de intercepción

Ataques de interrupción

Ataques activos Ataques de modificación

Ataques de fabricación o suplantación

Dando a entender, que los ataques de pasivos son aquellos que no alteran la
comunicación, únicamente espía por describirlo de alguna forma. Mientras que los
ataques activos si alteran el flujo de datos que se busca transmitir.
Expuestos ya los tipos de ataques podemos deducir que en el caso expuesto en el
taller se presentó un ataque activo y de tipo de interrupción, ya que se borró
información en el equipo afectado. Por lo tanto, para lograr encontrar el origen de
la irrupción y reconstruir la secuencia temporal se deberá reunir la información de
los archivos que fueron eliminados y de los sospechosos.
Información a reunir:
● Tamaño y tipo de la información comprometida.
● Listado de usuarios y/o grupos a los que pertenece la información.
● Cuales son los permisos de acceso.
● Detección de los archivos eliminados.
● Trazado de ruta.
● Marcas de tiempo.

Opinión Daniel :

Se separa completamente al usuario del equipo, quedando en custodia del

analizador forense, lo primero que se debe hacer es descartar que el usuario
principal del equipo haya sido el que hubiese borrado los archivos, para esto con
un interrogatorio, una inspección del correo corporativo y otras técnicas se puede
descartar, una vez descartado esto se analiza el tipo de ataque que se se hizo,
existen varios ataques, en este caso el más notable es un tipo de ataque de
interrupción ya que este tipo de ataques eliminan o afectan la disponibilidad de la
información.
Definiendo esto, se reconstruye la escena del crimen, con ayuda de las
herramientas forenses como Fastir Collector tendremos todos los logs del equipo,
además con las mismas herramientas propias del sistema operativo se detalla aún
más las actividades que se realizaron en el equipo, se analizará también todo
historial Web o de navegación que tuvo el usuario, ya con esto se puede tener la
mayor parte de la reconstrucción de la escena del crimen.
Ahora bien, para encontrar el culpable debemos tener claro cómo se originó el
ataque si fue por medio de la Red local, Internet, USB(medios extraíbles) entre
otros, en el caso que haya sido por USB se debe hallar el propietario de la USB, si
fue por la red local de la empresa, se debe entrar a mirar los equipos activos de la
compañía ( router, switches, firewall) y generar todo tipo de reportes o logs que
coincidan con el análisis que se le hizo al equipo para poder hallar una IP o mac
del dispositivo que hizo el ataque, una vez con esto se detecta el propietario del
dispositivo y el caso que haya sido por internet, se analiza de dónde provino la
descarga, de que paguina web y se entraría en un proceso de saber el propietario
y creador de la página web en donde se descargó, y dar con el culpable.
Teniendo un culpable con pruebas claras y certeras se comienza todo el proceso
judicial que tiene definido las autoridades locales.
Opinión Jairo.
para realizar un mejor análisis del ataque podemos seguir los siguientes pasos:

Teniendo en cuenta lo anterior se dará un repaso a las herramientas más

utilizadas para realizar un análisis forense. Para ello se dividirán las herramientas
en función del ámbito de aplicación, por ejemplo, para el análisis de las redes de
comunicaciones, el análisis de los discos de los equipos, análisis de los
dispositivos de memoria, análisis de aplicaciones y finalmente las suites de
herramientas que contienen paquetes con herramientas para varias finalidades
para así determinar si por algunas de estas herramientas se realizó el ataque.
Una vez validadas las aplicaciones instaladas en el equipo y sin encontrar riesgo
alguno se pueden validar opciones de tráfico de red para esto podemos ayudarnos
con dispositivos de seguridad como los firewall, los cuales algunos poseen un
historial de tráfico de red y peticiones y servicios que hace el equipo local,
sumando a esto que nos dirá la MAC o serial del dispositivo involucrado.o
realizando un análisis de protocolos de red con programas como wireshark o snort
Para poder realizar una identificación del autor o autores del incidente, otra
información importante que nos puede dar el volcado de memoria son las
conexiones de red abiertas y las que están preparadas para enviar o recibir datos.
Con esto podremos relacionar el posible origen del ataque buscando datos como
la dirección IP en Internet. Hay que actuar con prudencia puesto que en ocasiones
se utilizan técnicas para distribuir los ataques o falsear la dirección IP. Hay que ser
crítico con la información que se obtiene y contrastar correctamente. No siempre
se obtendrá la respuesta al primer intento y posiblemente en ocasiones sea muy
difícil averiguar el origen de un incidente.

Opinión General:
El tipo de ataque que se presentó fue el de Interrupción, este provoca que un
objeto del sistema se pierda, quede inutilizable o no disponible, perdiendo la
confidencialidad, integridad y disponibilidad, esto afecta comúnmente, al mal
funcionamiento del hardware, borrado de software y Datos, y fallos en el sistema
operativo.

La información que se debe recolectar debe ser todo tipo de Logs del sistema y
equipos activos (router,switches, etc...) que se recolectan a través de programas y
funciones propias de sistema operativo. así con esto se analiza el ataque, con las
fechas y horas de los logs
Aseguramiento de la escena digital: protegiendo el bien informático para evitar
modificaciones, robo o destrucción de las evidencias digitales, garantizando la
cadena de custodia.
identificar y preservar las evidencias: se realiza una copia exacta de la evidencia
recolectada utilizando herramientas certificadas para esta acción, todo esto para
garantizar la originalidad y la cadena de custodia.
Análisis exhaustiva de las evidencias: aplicando técnicas forenses para alizanar
todo el material digital custodiado, recolectado todo tipo de información cadenas
de caracteres, logs, acciones, archivos, historial, memoria cache entre otros
Documentación: todo debe estar correctamente documentado haciendo un informe
detallado de todo el análisis que se hizo, para poder dar un resultado final y poder
tener las pruebas concretas para poder judicializar a los responsables del ataque

Referencias:
● http://feladazarodriguez.blogspot.com/2010/09/ataques-pasivos-y-
ataques-activos.html
● https://blogseguridadandrea.wordpress.com/2016/11/13/4-1-tipos-de-
ataques/
● https://sicrom.com/blog/tipos-ataques-informaticos/