Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
PREVENCIÓN
RESPUESTA
Los atacantes pueden utilizar diferentes rutas a través de la infraestructura para perjudicar al
servicio que presta una empresa. Cada uno de estos caminos representa un riesgo que puede
o no ser suficientemente grave.
Tomando como fuente los datos proporcionados por el sitio web CVE Details
(https://www.cvedetails.com) se observa un aumento significativo (en 2018 alrededor de 17.000
vulnerabilidades) que representa que cada vez existen más vulnerabilidades, algo lógico si
tenemos en cuenta la creciente complejidad de los sistemas operativos y las aplicaciones, pero
también que hay más interesados en descubrir estos agujeros de seguridad, ya sea para
solucionarlos o aprovecharlos.
CWE (Common Weakness Enumeration) es una lista estándar del sector que proporciona
nombres comunes para debilidades de software públicamente conocidas. http://cwe.mitre.org/.
Este último quizás el estándar más usado. Permite identificar cada vulnerabilidad, asignando a
cada una un código de identificación único.
Ejemplo: SQL Injection. Las brechas de inyección, tales como SQL, OS, y LDAP, ocurren
cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta.
Los datos introducidos del atacante pueden engañar al intérprete en ejecutar comandos no
intencionados o acceder datos no autorizados.
http://www.mclibre.org/consultar/php/lecciones/php_db_inyeccion_sql.html
La probabilidad de que sea una vulnerabilidad sea descubierta y explotada por un atacante
aumenta con el paso del tiempo. En consecuencia, las vulnerabilidades deben gestionarse en
un plazo mínimo y acorde al CVSS junto con la criticidad del activo.
Corrección de vulnerabilidades
Todo software es susceptible de necesitar actualizaciones por motivos de seguridad, esto
incluye el firmware de los equipos electrónicos, los sistemas operativos y aplicaciones
Además, todo el software tiene un ciclo de vida, por lo que llegado el momento puede quedar
obsoleto y sin soporte oficial por parte del fabricante. En ese momento es un blanco fácil para
los ciber-delincuentes (sobre todo si estamos conectados a internet) y deberíamos dejar de
utilizarlo.
Las empresas tienen que revisar de forma continua la existencia de actualizaciones y parches
de seguridad de software y elaborar procedimientos que permitan que tales actualizaciones y
parches sean instalados en los equipos de forma segura y controlada:
▪ Determinar el software qué debe ser actualizado: Realizas un listado del software
existente en la empresa para incluirlo en el plan de actualizaciones.
▪ Determinar cuándo y qué actualizaciones instalar: Revisas las características y los
requisitos de las actualizaciones y parches antes de instalarlos.
▪ Probar las actualizaciones: Analizas y contrastas en un entorno de pruebas las
actualizaciones que deseas instalar.
▪ Deshacer los cambios: Cuentas con mecanismos y procedimientos para deshacer los
cambios sufridos tras ejecutar una actualización en caso de no resultar conveniente.
▪ Herramientas de diagnóstico y actualización: Utilizas herramientas de autodiagnóstico
para detectar software no actualizado en tus equipos.
▪ Configuración de un sistema de alertas: Tienes configurado un sistema de alertas para
recibir avisos y notificaciones sobre vulnerabilidades, actualizaciones y parches de
seguridad.
▪ Registro de actualizaciones: Registras cada una de las actualizaciones y parches que
instalas.
Como proceso recurrente, es posible definir un seguimiento o ciclo de vida para la gestión de parches
y actualizaciones. Se definen 6 fases en este proceso:
Buenas prácticas
Las buenas prácticas relacionadas con la gestión de parches se pueden agrupar en cinco grandes
apartados.
▪ Controles compensatorios: Los parches pueden no estar disponibles cuando se desean, por lo
que es necesario crear una cultura para evitar problemas. Lo primero a valorar es qué es lo que
suele fallar en los sistemas de control, las vulnerabilidades que le afectan y determinar las
consecuencias. A partir de ahí, medidas como el correcto bastionado de equipos, el control del
tráfico y los accesos a los sistemas de control mediante cortafuegos, segmentar la red según la
criticidad de los dispositivos, realizar auditorías y evaluaciones de seguridad y utilizar listas
blancas permitirán que un determinado fallo no suponga un problema para la empresa aunque
tarde en llegar el parche que lo solucione.
De forma habitual, los fabricantes también suelen aportar soluciones alternativas (workarounds)
asociados a las debilidades o vulnerabilidades que corrigen de forma temporal el problema hasta
que el parche está desarrollado o se puede aplicar.
▪ Establecer un programa de gestión de parches: Implantar un programa adecuado de gestión
de parches en los sistemas de control va a permitir controlar las actualizaciones que afectan a los
activos de la empresa. La gestión de parches debe contener una política orientada a reducir el
esfuerzo en su aplicación y a disminuir los posibles riesgos.
▪ Prueba de parches: La distribución de parches se lleva a cabo por los fabricantes una vez
comprobado su correcto funcionamiento. Este procedimiento no garantiza su aplicación en todos
los sistemas de control ya que cada proceso es único, y por lo tanto deberían probarse todos los
parches antes de su instalación en el sistema de producción en un entorno de test controlado.
Aquellos sistemas que se encuentren redundados pueden utilizar los equipos de respaldo para
desplegar los parches y verificar en ellos el correcto funcionamiento de los mismos para de esta
manera no interrumpir ningún proceso en curso que esté siendo gestionado por los equipos
principales.
▪ Distribución de parches: El gestor de parches necesita acceso a internet para la descarga de
actualizaciones, pero un sistema crítico o de control no debe conectarse a internet. Por lo tanto,
el gestor de parches debe situarse en el lugar adecuado de la red, desde el que disponga de
acceso a internet, y los equipos del sistema de control puedan conectarse a este gestor. Si fuera
necesario se podrían colocar más gestores de parches enlazados con el gestor principal. Para
asegurar la autenticidad de los parches debe verificarse que los parches vienen firmados o con
La gestión de parches es un proceso que debe incluirse dentro de todas las empresas para mejorar
el nivel de seguridad de sus sistemas de control. Su incorporación generará un trabajo extra inicial
que será compensado por el aumento del nivel de seguridad y la disminución del tiempo de parada
por posibles fallos o infecciones de malware.
En el informe elaborado por investigadores en seguridad de IBM, conocido por IBM X-Force
Threat Intelligence Index 2018, se puso de manifiesto que el 95% de los ciberataques son por
fallos humanos.
Muchos de nosotros pensamos que los ciber-delincuentes utilizan sus amplios conocimientos
en materia de informática para colarse en las grandes corporaciones, donde pueden obtener
datos de mucho valor, sin embargo, la realidad es muy distinta. La realidad es que les es que
se aprovechan de las vulnerabilidades provocadas por nuestros propios errores y
desconocimiento.
▪ Phishing: se trata del tipo más común. El atacante recrea un sitio web conocido y con el
que la víctima se sienta confiada. A través de un enlace a dicha web plagiada, el usuario
pone en compromiso su información personal e incluso su información bancaria.
− Phishing masivo: No hay un objetivo específico. Suele ser muy generico, e intenta que
la mayoría de la gente se relacione con la temática del ataque.
De no darse cuenta del engaño, podría desvelar datos confidenciales como el saldo de la cuenta
al que seguiría una petición para que haga alguna transferencia urgente.
En casos más sofisticados pueden previamente haber espiado, mediante un malware espía,
los correos electrónicos para imitar el estilo de escritura del jefe. También han podido
previamente robar las credenciales de acceso del jefe a su cuenta de correo para enviar el
correo desde esta misma cuenta.
Los estafadores siempre están en busca de nuevos canales, así que la mejor manera de
mantener la seguridad es estar alerta.
Concienciación a empleados
Dentro de los programas de formación de seguridad, algunos de los puntos clave para
empleados son:
▪ Concienciación de la política de seguridad de la organización.
▪ Impacto del acceso no autorizado.
▪ Conocimiento de los requisitos de seguridad para diferentes entornos.
▪ Buenas prácticas en correo electrónico, navegación, dispositivos móviles etc.
▪ Cómo informar de un posible incidente de seguridad y a quién.
▪ Seguridad física.
▪ Shoulder Surfing (mirar por encima del hombro).
▪ Dumpster Diving (búsqueda en los contenedores).
“Conócete a ti mismo y conoce a tu enemigo”. Esta máxima extraída del ensayo “El Arte de la
Guerra” del filósofo y militar chino, Sun Tzu (s. II a.C.), resume como pocas la estrategia a
seguir en cualquier conflicto y es la que subyace en la creación de los denominados Red Team,
El concepto de Red Team proviene del ámbito militar y es utilizado en contraposición con el de
Blue Team; englobados ambos dentro de las actividades de War Gamming o simulaciones de
guerra, donde un equipo adquiere el rol de atacante (Red) y otro de defensor (Blue). Este tipo
de ejercicios han venido realizándose de forma continuada desde hace décadas por los
ejércitos de un buen número de países y suponen uno de los entrenamientos más eficaces para
conocer su estado de la seguridad, sus flancos débiles y, sobre todo, sus capacidades
defensivas y de reacción ante cualquier intrusión.
Red Team
Es un equipo humano, que realiza ataques (siempre controlados) a un objetivo, que ha sido
definido anteriormente por parte del cliente y bajo un contrato de confidencialidad y de alcance
del mismo. En este contrato nos deben decir hasta dónde podemos llegar.
El red team debe representar una amenaza real, constante en el tiempo, como si de una
monitorización se tratase. Esta amenaza real debe llevarse a cabo hasta conseguir el objetivo
final: manipular, filtrar, robar información, denegación del servicio o fraude. Para conseguirlo
pueden y deben utilizarse no sólo técnicas usadas en test de intrusión convencional, sino,
además, usar la parte humana con ingeniería social. Por ejemplo: phishing, malware y
ransomware.
APT: [Wikipedia] Una amenaza persistente avanzada, también conocida por sus siglas en
inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos
y continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad informática
de una entidad específica. Una APT, generalmente, fija sus objetivos en organizaciones o
naciones por motivos de negocios o políticos. Los procesos de APT requieren un alto grado de
cobertura durante un largo período de tiempo. El proceso avanzado involucra sofisticadas
técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas.
Un ejercicio de Red Team consiste en una simulación real de ataque (APT) sobre la
organización mediante la combinación de vectores de ataque, que permite a la empresa
identificar su nivel de seguridad global, así como el nivel de prevención, protección y respuesta
frente a amenazas dirigidas.
Beneficios
Despliegue de Infraestructura
Con el objetivo de evitar la identificación del equipo durante las pruebas, la infraestructura debe
de ser contratada de forma anónima y mediante métodos de pago que eviten también la
identificación.
Obtención de información
La primera acción a realizar es una investigación preliminar de la organización que nos permita
obtener ciertos detalles que nos ayudara a enfocar el ejercicio.
▪ Análisis general de la organización: Empresa nacional o internacional, filiales y
proveedores, activos core de negocio, etc.
▪ Búsqueda de información pública: Leaks de empleados, links e información interna de
infraestructura, etc.
Enumeración pasiva
Durante la enumeración pasiva se buscara identificar toda la infraestructura pública en Internet
de la organización sin interactuar con ella.
En esta fase es muy importante realizar un inventariado organizado y conocer las acciones de
enumeración realizadas. Esta enumeración requiere identificar tanto la infraestructura de
sistemas pública de la organización en Internet como los dominios y subdominio.
Enumeración activa
Una vez realizada la enumeración pasiva es necesario realizar ciertas comprobaciones activas
sobre aquellos activos que nos hayan llamado la atención. Entre las acciones principales que
podríamos realizar están:
▪ Identificación de sistemas vivos
▪ Verificar si existen medidas de protección
▪ Análisis activo en aquellos rangos identificados como ‘no filtrados’
Adicionalmente se pueden realizar muchas acciones, pero hay que tener en cuenta que es
bueno realizar el menor ruido posible.
Intrusión inicial
Una vez se tiene el inventario completo de sistemas expuestos en Internet de la organización
objetivo es necesario identificar una vulnerabilidad que nos permita acceso a la red interna de
la organización.
Enumeración interna
Tras lograr el acceso a la red interna de la organización es necesario:
▪ Identificar sistemas vulnerables en la red interna
▪ Enumerar los sistemas sin hacer ‘ruido’
Elevación de privilegios
Respecto de la elevación de privilegios en dominio interno podemos encontrarnos multitud de
opciones que nos pueda permitir tomar control de la infraestructura interna de la organización.
Movimiento lateral
A nivel interno es necesario moverse entre sistemas, algo que dependiendo del número de
sistemas puede resultar más o menos complejo.
Persistencia
Cuando se va a implantar persistencia es necesario hacerlo de forma realista para que sea
funcional y permita continuar con el ejercicio sin riesgo a ser identificados.
Por decirlo de una forma muy resumida, se trata de un "red team" que tiene como objetivo
formar y entrenar un "blue team".
Ciber inteligencia
Introducción
Definición: Ciber-inteligencia es la adquisición y análisis de información para identificar,
rastrear, predecir y contrarrestar las capacidades, intenciones y actividades de los ciberactores
(atacantes), y ofrecer cursos de acción con base en el contexto particular de la organización,
que mejoren la toma de decisiones.
Ciclo de inteligencia
El FBI define el ciclo de inteligencia como un proceso de seis tareas
(https://www2.fbi.gov/intelligence/di_cycle.htm):
▪ Requerimientos. Se deben identificar las necesidades de información. “¿Qué es lo que
debemos saber para poder protegernos?”.
▪ Planificación. Determinar qué es lo que queremos encontrar o qué respuesta/hipótesis es
la que queremos responder.
▪ Recolección. Definir las fuentes de información que utilizaremos; internas o externas,
abiertas o privadas, manuales o automáticas. Obtención de información en crudo, que luego
será procesada.
▪ Procesamiento. Convertir la información de forma tal que pueda ser analizada, ya sea por
personas o por sistemas automatizados.
▪ Análisis. Encontrar aquellos elementos que son relevantes y que ayuden a confirmar o
rechazar las hipótesis planteadas, o que ayuden a responder las preguntas establecidas en
el primer paso.
▪ Difusión. Hacer llegar a las partes interesadas los hallazgos y cursos de acción propuestos.
Tipos de Inteligencia
Existen distintos tipos de inteligencia dependiendo del medio del que se obtiene. A continuación
listamos cuatro grupos:
▪ OSINT (Open Source Intelligence). Inteligencia a partir de la información que es pública y
abierta, la principal fuente es Internet.
Fuentes de Inteligencia
La información es poder: hoy en día existen multitud de fuentes de acceso público debido a la
gran cantidad de información disponible en Internet:
▪ Medios de comunicación: revistas, periódicos, radio…
▪ Información pública de fuentes gubernamentales….
▪ Foros, redes sociales, blogs, wikis…
▪ Conferencias, simposios, papers, bibliotecas online…
▪ DeepWeb: ToR, I2P, FreeNet, Hornet, Vuvuzela, xMix…
Para que tener una noción de la cantidad de información a la que podemos tener acceso
pensemos en las siguientes cifras macro:
▪ Población mundial es de 7,5 mil millones de personas.
▪ Internet tiene 4 mil millones de usuarios.
▪ Las redes sociales tienen 2,7 mil millones de usuarios.
Ejemplos de cifras:
▪ Google almacena información de 30 billones de páginas web y 1.000 Tb.
▪ Facebook 1.100 millones de usuarios, 50 millones de páginas y 240.000 millones de fotos.
▪ Twitter 230 millones de usuarios activo. Diariamente más de 500 millones de tweets.
▪ Badoo 175 millones de usuarios.
▪ Flickr 84 millones de usuarios y más de 8.000 millones de fotos.
Tal cantidad de información genera problemas para saber qué información es realmente útil y
fiable.
Ejemplos de uso:
Carding y antifraude
▪ Monitorización de focos de carding (foros de la deepweb, redes sociales, pastes, IRCs,
blogs, etc.).
▪ Cuando se detecta una fuga de bines, tarjetas sustraídas, venta o acciones fraudulentas,
se notifica al banco mediante un boletín de amenazas, con información completa sobre el
suceso.
▪ A continuación, colaboramos para detectar el origen de la fuga y así poder plantear una
solución.
Reputación y marca
▪ Monitorización en redes sociales como Twitter, Instagram, Facebook, Linkedin o Youtube,
en prensa online, blogs, foros, etc. de mensajes referidos a su compañía, productos y
empleados.
▪ Búsqueda avanzada realizada por un grupo experto de analista y herramientas OSINT.
Alerta temprana de información positiva y negativa emitida sobre los contenidos
considerados de interés
Fuga de información
▪ Monitorización de fugas de credenciales, ficheros corporativos, datos privados, etc. en
redes P2P, pastes, foros underground, Deepweb,etc.
▪ Detección temprana de interactuación con dichos contenidos.
▪ Generación de boletines de alertas con información completa del suceso identificado.
Mitigación:
Las medidas de mitigación dependerán del tipo de ciberincidente, ya que en algunos casos será
necesario contar con apoyo de proveedores de servicios, como en el caso de un ataques de
denegación de servicio distribuido (DDoS), y en otros ciberincidentes puede suponer incluyo el
borrado completo de los sistemas afectados y recuperación desde una copia de seguridad. A
Clasificación de incidentes
Puesto que no todos los ciber-incidentes poseen las mismas características ni la misma
peligrosidad, es necesario disponer de una taxonomía de los ciber-incidentes, lo que ayudará
posteriormente a su análisis, contención y erradicación.
Los factores que podemos considerar a la hora de establecer criterios de clasificación son, entre
otros:
▪ Tipo de amenaza: código dañino, intrusiones, fraude, etc.
▪ Origen de la amenaza: Interna o externa.
▪ La categoría de seguridad de los sistemas afectados.
▪ El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y,
en su consecuencia, sus privilegios de acceso a información sensible o confidencial.
▪ El número y tipología de los sistemas afectados.
▪ El impacto que el incidente puede tener en la organización, desde los puntos de vista de la
protección de la información, la prestación de los servicios, la conformidad legal y/o la
imagen pública.
▪ Los requerimientos legales y regulatorios.
Información a notificar
Para una correcta gestión y tratamiento de incidente registrado, se hace necesario disponer de
datos e informaciones precisas acerca del mismo:
▪ Asunto
▪ Descripción
▪ Afectado
▪ Fecha y hora del incidente
▪ Fecha y hora de detección del incidente
▪ Taxonomía del incidente
▪ Recursos afectados
▪ Origen del incidente
▪ Contramedidas
▪ Impacto
Primera comunicación
La primera comunicación siempre ha de dirigirse hacia los equipos resolutores, de soporte y
gestión del incidente de manera que se empiece a trabajar en la contención y erradicación.
Comunicación externa
Es conveniente manejar las comunicaciones externas con el fin de minimizar el ruido y
distorsión del evento una vez salga de la empresa, pudiendo afectar a la imagen y reputación
de la misma.
Comunicación a reguladores
Existen varias normativas y regulaciones en las que se contempla la obligación de notificar
brechas de seguridad con distintas motivaciones, como por ejemplo el RGPD.
El RGPD también establece los casos en los que una brecha de seguridad se debe comunicar
al afectado, en concreto cuando sea probable que la brecha de la seguridad de los datos
personales entrañe un alto riesgo para los derechos y libertades de las personas físicas.
Entre los eventos que los distintos sistemas registran están por ejemplo: el inicio/fin de sesión,
el acceso y modificación de ficheros y directorios, cambios en las configuraciones principales,
lanzamientos de programas, etc.
Los registros de actividad de los distintos sistemas y equipos son los datos a partir de los cuales
es posible no sólo detectar fallos de rendimiento o mal funcionamiento, sino también detectar
errores e intrusiones. Con ellos se alimentan sistemas de monitorización que convenientemente
configurados pueden generar alertas en tiempo real. Por otra parte, facilitan el análisis forense
para el diagnóstico de las causas que originan los incidentes.
Por último, son necesarios para verificar el cumplimiento de ciertos requisitos legales o
contractuales durante las auditorías.
Información relevante incluida en el registro: los elementos de información más útiles que deben
ser incluidos en los distintos registros. Los más habituales son:
▪ identificador del usuario que realiza la acción;
▪ identificación del elemento sobre el que se realiza la acción (ficheros, bases
▪ de datos, equipos, etc.);
▪ identificación de dispositivos, ya sea a través de sus direcciones IP, direcciones MAC, etc.;
▪ identificación de protocolos;
▪ fecha y hora de ocurrencia del evento;
▪ tipología del evento.
Syslog: El método más común para acceder a los mensajes del sistema que proporcionan los
dispositivos de red es utilizar un protocolo denominado “syslog“.
Un sistema SIEM permite tener control absoluto sobre la seguridad informática de la empresa.
Al tener información y administración total sobre todos los eventos que suceden segundo a
segundo, resulta más fácil detectar tendencias y centrarse en patrones fuera de lo común.
Un sistema SIEM recoge registros y otra documentación relacionada con la seguridad, para ser
analizados. La mayoría de los sistemas SIEM funcionan desplegando múltiples agentes de
recopilación de forma jerárquica para recopilar eventos relacionados con la seguridad de
dispositivos de usuario final, servidores, equipos de red e incluso equipos de seguridad
especializados como firewalls, antivirus o sistemas de prevención de intrusiones. Los
recolectores envían eventos a una consola de administración centralizada, que realiza
inspecciones y señala anomalías. Para permitir que el sistema identifique eventos anómalos,
es importante que el administrador de SIEM cree primero un perfil del sistema en condiciones
normales de evento.
En el nivel más básico, un sistema SIEM puede estar basado en reglas o emplear un motor de
correlación estadística para establecer relaciones entre entradas de registro de eventos. En
algunos sistemas, el procesamiento previo puede ocurrir en los colectores de borde, con sólo
ciertos eventos pasando a través de un nodo de administración centralizada. De esta manera,
se puede reducir el volumen de información que se comunica y almacena. El peligro de este
enfoque, sin embargo, es que eventos relevantes pueden ser filtrados demasiado pronto.
Sus actividades aseguran una alta disponibilidad del servicio, un rápido reconocimiento de fallas
o degradación del servicio.
Funciones de un NOC:
▪ Visualizar o Monitorear y Gestionar la Red
Para este nivel se necesita un conocimiento profundo de la red, de los sistemas endpoint, de
inteligencia de amenazas, de forensics e ingeniería inversa de malware y del funcionamiento
de aplicaciones y de la infraestructura TI subyacente.
Su razón de ser radica en que aunque resulte casi imposible evadir todos los riesgos, en caso
de que alguno se materialice, sus consecuencias puedan ser mitigadas y las actividades
primordiales restablecidas en el menor tiempo posible, con el impacto mínimo aceptable para
las organizaciones.
Seguridad activa
El objetivo de establecer métodos de seguridad activa son:
▪ que los atacantes cometan errores,
▪ elevar el coste del ataque (el famoso ROI) y
▪ que tengan que esforzarse más
Los diez principios de la Defensa activa:
▪ Engaño: hacer pensar que algo es verdadero
▪ Degradación: reducción de la efectividad
Definición de Evidencia: La evidencia es lo que prueba que un hecho ocurrió o no. Cibercrimen
y crimen tradicional pueden dejar pruebas electrónicas. Existen tres tipos de pruebas:
▪ Testimonio de un testigo.
▪ Evidencia física.
▪ Evidencia electrónica.
Seguridad de la evidencia:
▪ Uso de bolsas de evidencias.
▪ Usar sistemas de manipulación: bolsas antiestáticas, alfombrillas antiestáticas.
▪ Contenedores con candados.
▪ Uso de precinto de evidencia.
▪ Escribir en el precinto para asegurar que no ha sido abierto.
▪ Control de temperatura y humedad.
Laboratorio
Seguridad física:
▪ Protección ante inundaciones, incendios y otras catástrofes naturales.
▪ Una sola puerta con registros de entrada y salida.
▪ Armarios de almacenamiento seguros.
▪ Registro de llaves, numeración y propietarios.
▪ Protección electricidad estática.
▪ Contenedores de destrucción seguros.
▪ Alimentación eléctrica (UPS).
Seguridad lógica:
▪ Sistemas forenses sin conectividad.
▪ Red independiente.
▪ Equipos hardware exclusivos.
▪ Software actualizado.
Software:
▪ Software opensourcey libre: Autopsy/ Sleuthkit/ dcfldd/ DEFT
▪ Software comercial: EnCase, iLookPI, FTK
▪ Móviles: Parabean, Oxygen
Hardware:
▪ Equipos especializados para el clonado
▪ Equipos clónicos
▪ Protectores de escritura (write blockers)
1. Asegurar la escena
No sólo hay que centrar en un análisis técnico, también debe asegurarse que la escena
donde se ha producido el incidente no haya sido alterada. Además, todos los implicados en
la investigación deben ser conscientes que cualquier acto que lleven a cabo puede
comportar unas consecuencias posteriores, teniendo que trabajar consensuando la
actuación y anotando todo lo realizado en la escena. En esta fase es recomendable:
▪ Realizar fotografías del entorno del equipo para evidenciar el estado original de la
escena, identificando así el perímetro de la escena a analizar y protegiéndolo de
accesos de personal no autorizado.
▪ Anotar la hora y fecha de los equipos implicados que no tiene por qué coincidir con la
real (tener en cuenta posible desfase horario), esto es importante para la investigación
posterior y para la realización de una línea temporal con todos los sucesos que han
ocurrido.
▪ Valorar la desconexión de los equipos tanto de la red como de la alimentación
eléctrica, ya que esto puede provocar que perdamos evidencias.
Importante en esta fase si aún no lo hemos hecho, solicitar autorización por escrito para
efectuar la recolección de evidencias. Esto es muy importante ya que en ocasiones se
manejan datos confidenciales.
Recolección de evidencias:
Una vez identificadas las evidencias se procede a su recolección, mediante los siguientes
pasos:
Copia bit a bit de los discos a analizar, es decir, se requiere una copia exacta del contenido
de los discos incautados, incluyendo todos los archivos del disco: temporales, ocultos, de
configuración, eliminados y no sobrescritos e información relativa a la parte del disco no
asignado es lo que se conoce como copia a bajo nivel.
Hash: una vez realizada la copia se debe verificar la integridad de esta. Para ello se calcula
el hash o CRC de la copia, normalmente los equipos destinados al clonado de discos ya
incorporan esa característica. Así con el hash del disco original y el de la copia se puede
certificar que ambos son idénticos a todos los niveles y ante un juez quedará probado que
no se ha manipulado de ningún modo y no hemos tenido errores en el clonado.
Copias: Con la primera copia realizada y comprobada procedemos a realizar una segunda
copia sobre la primera comprobando que el contenido es idéntico mediante el hash.
Teniendo ambas copias entregaremos la primera al secretario judicial o notario responsable
del caso y nos quedaremos con la segunda para poder trabajar. La segunda copia será
nuestra copia de respaldo en todo momento en el laboratorio y no será para trabajar
directamente con ella en ningún caso.
Para realizar el análisis se deberá realizar una tercera copia, comprobar su integridad y
trabajar sobre ella, de tal modo que en caso de cualquier desastre o alteración de los datos
siempre tengamos la segunda copia exacta al original de donde poder volver a realizar otra
copia para analizar.
La fase de análisis concluye cuando podemos determinar qué o quién causó el incidente,
cómo lo hizo, qué afectación ha tenido en el sistema, etc.
Además, es importante que los resultados que se obtengan de todo el proceso puedan ser
verificables y reproducibles, así que en cualquier momento debemos poder montar un
entorno donde reproducir la investigación y mostrarlo a quién lo requiera. Para ello es
importante también disponer de la siguiente documentación adicional:
▪ Sistema operativo del sistema.
▪ Programas instalados en el equipo.
▪ Hardware, accesorios y periféricos que forman parte del sistema.
▪ Datos relativos a la conectividad del equipo: Firewall, Proxies, DMZ, etc.
▪ Datos generales de configuración.
La última fase de un análisis forense es la redacción de los informes que documentan los
antecedentes del evento, todo el trabajo realizado, el método seguido y las conclusiones e
impacto que se ha derivado de todo el incidente.
▪ Informe ejecutivo se usará un lenguaje claro y sin tecnicismos, se debe evitar usar
terminología propia de la ciencia e ingeniería y expresiones confusas para gente no
ducha en el tema. Hay que pensar que el público lector de estos informes serán jueces
y gerentes que seguramente estén poco relacionados con el tema y además tengan
poco tiempo para dedicarle. Se les debe facilitar la tarea al máximo.
▪ Informe técnico, por el contrario, el público final será técnico y con conocimientos de
la materia que se expone. Aquí se detallarán todos los procesos, los programas
utilizados, las técnicas, etcétera. Debemos crear un documento que pueda servir de
guía para repetir todo el proceso que se ha realizado en caso necesario.
Matriz de Criticidad de Procesos Críticos: Relación de procesos críticos donde queda reflejada
la criticidad horaria (prioridad de recuperación horaria) y criticidad por tipo de impacto. La
criticidad del proceso se establece de acuerdo con las siguientes variables:
Cuestionario Análisis Requerimientos Recuperación: Por cada proceso que resulte crítico del
análisis anterior, se procederá a la confección de un cuestionario en el que se indicarán los
requerimientos necesarios para la recuperación de este a unos niveles mínimos de servicio
aceptables:
▪ Personal crítico (y sus correspondientes alternativos), imprescindible para restaurar el
proceso.
▪ Sistemas / aplicaciones que soportan el proceso.
▪ Requisitos del puesto alternativo de trabajo
▪ Documentación crítica soporte al proceso
▪ Procedimiento alternativo de operación. Tareas a realizar por el personal crítico asociado al
proceso en el caso de que el/los sistemas que lo soportan no se encuentren disponibles *.
▪ Proveedores clave, si aplica.
Para los riesgos identificados habrá que gestionarlos a través de alguna de las siguientes
estrategias:
▪ Aceptar el riesgo identificado, acorde con el apetito de riesgo de la entidad
▪ Implementar controles y medidas adicionales para tratar de reducir la probabilidad de que
el riesgo se materialice
▪ Mitigar el impacto y/o el tiempo de interrupción mediante la definición de estrategias de
continuidad en caso de que el escenario se materialice.
▪ Transferir el riesgo (p.e. mediante la contratación de seguros)
FASE II - ESTRATEGIAS
Mantenimiento del plan: Es necesario revisar el Plan al menos de forma anual para reflejar en
el mismo cualquier modificación que se haya podido producir en cualquiera de las partes que
lo forman: Análisis BIA, estrategias de continuidad, planes de acción, etc.
Las modificaciones relevantes realizadas sobre los planes de continuidad de las entidades
deberán ser notificadas al Equipo Corporativo.