BRYAN RODRIGUEZ

2019/10/31
El mal uso de las técnicas forenses que terminaron en la indagación del perito
Perito de caso Odebrecht con prisión preventiva acusado de cambiar nombres y
omitir información

Analizar las técnicas y procedimientos que se realizaron en ese caso

Al perito policial José Luis Fuentes, quien transcribió una grabación que es prueba
en el caso Odebrecht, se le levantó la prisión preventiva el lunes 23 de octubre de
2017. Así lo ordenó la jueza Irina Pérez, quien tiene a su cargo la causa de falsedad
ideológica por la que se lo juzga.

Técnicas antiforenses utilizadas

Técnicas de ocultación de la información

Este método tiene como principal objetivo hacer invisible la evidencia para el analista.
De este modo, los atacantes ocultan mensajes u objetos dentro de otros archivos, de tal
forma que no se perciba su existencia.
Esta técnica, llamada esteganografía, puede llegar a ser muy eficiente de ser bien
ejecutada, pero conlleva muchos riesgos para el atacante o intruso. Al no modificar la
evidencia, de ser encontrada puede ser válida en una investigación formal y por lo tanto
servir para la incriminación e identificación del autor de dicho ataque.

Técnicas de sobreescritura de metadatos

Este grupo de técnicas tiene como fin engañar, creando falsas pruebas para cubrir al
verdadero autor, incriminando a terceros y por consiguiente desviando la investigación.
Si el analista descubre cuándo un atacante tuvo acceso a un sistema Windows, Mac o
Unix, con frecuencia es posible determinar a qué archivos o directorios accedió.
Utilizando una línea de tiempo para indicar las acciones y clasificándolas en orden
cronológico, el analista tendría un esquema de lo que fue ocurriendo en el sistema.
Aunque un atacante podría borrar los contenidos de los medios de comunicación, esta
acción podría atraer aún más la atención.
Otra estrategia bastante utilizada es cuando el atacante oculta sus pistas al sobrescribir
los propios tiempos de acceso, de manera que la línea de tiempo no pueda construirse de
forma fiable.
Existen varias herramientas comúnmente utilizadas con este fin, como ExifTool
o Metasploit que en conjunto con Meterpeter permiten borrar o cambiar estos
parámetros. Veamos un ejemplo:

Como se puede observar en la imagen, tenemos el archivo “líneadetiempo.txt” que

mediante el comando timestomp –v nos indica atributos de creación, último acceso y
modificación.
El paso siguiente sería indicarle el archivo que se utilizará como ejemplo para
sobreescribir esos metadatos; veremos el resultado final en la siguiente imagen:

Otra técnica similar y muy común es blanquear los atributos con el

comando meterpreter > timestomp –b y para realizarlo de una forma
recursiva meterpreter > timestomp C:\\ -r.
De este modo, afectando a los archivos claves sería casi imposible generar una línea de
tiempo con los incidentes ocurridos en un orden cronológico para los analistas.
Este tipo de técnicas no necesariamente implica actividad maliciosa; por ejemplo, en
algunos casos se pueden utilizar estos comandos para esconder información cambiando
los atributos, debido a que es muy improbable que al atacante que haya ingresado a un
sistema le interese un archivo antiguo –sobre todo si no ha sido abierto y ha sido creado
algunos años atrás.