Fase 3 – Trabajo Colaborativo 1

Segura Cortés Jhoan Manuel

Tabares Gutiérrez Oscar Fernando
Giraldo Martinez Jenny Paola
Tangarife Roman Juan Camilo
Universidad Nacional Abierta y a Distancia ''UNAD''
Pereira, Colombia
jseguraco@unadvirtual.edu.co, oftabaresg@unadvirtual.edu.co, sutanito.perez@unad.edu.co,
yepa53@hotmail.com, jctr.gc@gmail.com


Resumen— Este documento contiene los aportes realizados de
manera individual y colaborativa en el el curso de informática
forense perteneciente a la Escuela de Ciencias Básicas,
Tecnología e Ingeniería de la Universidad Nacional Abierta y
a Distancia; los cuales fueron desarrollados desde el 07 de
septiembre de 2018 hasta el 17 de octubre de 2018. El
presente escrito se encuentra dividido en diversos aspectos que
corresponden a cada uno de los aportes realizados a tiempo,
teniendo como propósito principal aplicar las temáticas
aprendidas y llevadas a cabo durante el transcurso de la fase
número tres. Igualmente se pretende realizar un análisis que
permita dar a conocer y entender la importancia que tiene la
informática forense en el mundo moderno, y la aplicabilidad
que el mismo tiene no solo en la industria, si no en la mayoría
de los campos que intervienen en el desarrollo tecnologico de
la humanidad y el impacto que han tenido y tendrán con los
futuros avances y desarrollos sociales.
I. INTRODUCCIÓN
En la actualidad es común escuchar la palabra de
ciberseguridad, pero a la hora de investigar algún incidente en
particular, es necesario la recuperación y análisis de la
información, esto es conocido como informática forense, la
cual nos permite siguiendo unos procesos y técnicas
diferentes, logra recuperar, preservar y autenticar la
información, para posteriormente presentar los hallazgos.
II. DESARROLLO DE LA ACTIVIDAD
1. Realizar la línea de investigación del caso antes de
comenzar la investigación, la línea de investigación de
los hallazgos de las evidencias.

Para la realización de la línea de investigación, se tuvo en

Palabras clave— Informática forense, filtración de
información, delito, normatividad.
Abstract— This document contains the contributions made
individually and collaboratively in the course of computer
forensics for members of the School of Basic Sciences,
Technology and Engineering of the National Open University
and Distance. which were published from September 7, 2018
to October 17, 2018. This writing is divided into the various
aspects that correspond to each of the contributions made on
time, with the main objective of applying the topics learned
and extracted during the course of phase number three. It also
intends to perform an analysis that allows to know and
understand the importance of information technology in the
modern world and the applicability that not only has in the
industry, but in most of the fields involved in the development
of humanity and The impact we have had and have had with
future advances and social developments.
Keywords— Computer forensics, information leakage,
crime, regulations.
cuenta 5 fases, un conjunto de técnicas de recopilación y
completo peritaje de datos para comprender el caso a
investigar1.
 Adquisición:
Se consiguen copias de la información de la cual se
sospecha que puede estar vinculada con el
incidente a investigar. Se debe garantizar la no
modificación de los datos, al igual que recuperar
archivos borrados u ocultos.
Las muestras son aisladas en recipientes que no
permitan el deterioro ni el contacto con el medio.
 Preservación:
Se debe garantizar que la información recopilada
no se destruya o sea transformada, por lo tanto
para cada análisis se debe realizar una copia y
sobre esta se debe realizar las prácticas.
Por lo tanto, cada vez que se manipule la
evidencia, se debe registrar, lugar, fecha, analista y
demás actores involucrados, esto es conocido
como cadena de custodia.

 1
Paus, L. (2015). 5 fases fundamentales del análisis forense digital.
  Análisis:
Una vez se consiga la información y se garantice
su preservación, se comienza con el análisis
forense, para lo cual se emplean herramientas tanto
hardware como software diseñado para esta
actividad, los resultados pueden varían,
dependiendo de las clases de herramientas
utilizadas en esta fase.
Fuente: Propia
 Documentación:
Es fundamental documentar cada acción que se
realice en las demás fases y así garantizar el Para el diseño de la topología de red se tiene en cuenta:
análisis de lo ocurrido, citando y adjuntando la La empresa consta de 4 pisos.
información recopilada. De igual manera, se debe  Red LAN
asegurar la relación lógica y las pruebas obtenidas
 Cada piso tiene su propia subred con dominio
para que la investigación pueda ser repetida por
otros analistas. 192.168.x.y.

donde (x) identifica al piso (y) e identifica el host en la red, la

 Presentación:
En esta fase, se entregan dos informes, los cuales
son: informe ejecutivo, en el cual se debe entregar
un resumen de forma clara, acertado y breve. Esto
para no ocasionar algún tipo de duda.
Por otra parte, se presenta el informe técnico, en
este se dan detalles más precisos, destacando
resultados encontrados en una forma más experto.
2. Esquematizar la topología y el diseño de red que se está
usando en la empresa como referente de la
investigación.
red está distribuida de la siguiente manera por pisos:
para este esquema se usa una topología estándar de tres capas,
la primera es la capa de acceso donde están conectados todos
los hosts, capa de distribución donde Agregar redes de armario
de cableado a gran escala y Proporcionar una alta
disponibilidad al usuario final mediante los switches de capa
de distribución redundantes y la seguridad, y rutas de igual
costo al núcleo y por ultimo está el núcleo que proporciona la
conectividad central a todo el edificio.

Para el diseño de la topología de red se tiene en cuenta:

La empresa consta de 4 pisos.
 Red LAN
 Cada piso tiene su propia sub red con dominio
192.168.x.y.

donde (x) identifica al piso (y) e identifica el host en la red, la

red está distribuida de la siguiente manera por pisos:

1. En el piso 1 se encuentra el área de mantenimiento,

distribuida con un servidor y 7 equipos conectados a
un switch
2. En el piso 2 se encuentra el área de recursos humanos
cuenta con un servidor y dos equipos conectados a un
switch
3. El piso 3 tiene el área comercial que cuenta con un
servidor y 9 equipos conectados a un switch
4. Y el piso 4 el área administrativa que cuenta con un
servidor y 8 equipos conectados a un switch

Figura 1: Topología y diseño de red

3. Clasificar de manera concreta el tipo de delito cometido

según la ley 1273 de 2009, explique su decisión.
4. Para este caso sólo por escrito se realizarán las dos
primeras fases del peritaje informático. Ese sólo se
le aplicará al caso propuesto.
Fase de Identificación
La fase de identificación se refiere a la recopilación de
información necesaria para trabajar sobre la fuente de
datos presentada por el administrador de los servidores
se realiza en dos etapas:
Etapa 1: Levantamiento de información inicial para el
Análisis Forense
Descripción Del Delito Informático.
LEY 1273 DE 2009
Violación de datos personales. El que sin estar
facultado para ello, con provecho propio o de un
tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue,
modifique o emplee códigos personales, datos
personales contenidos en ficheros, archivos, bases de
datos o medios semejantes, incurrirá en pena de prisión
de 48 a 96 meses y en multa de 100 a 1.000 salarios
mínimos.
Interceptación de datos informáticos. El que sin orden
judicial previa intercepte datos informáticos en su
origen, destino o en el interior de un sistema
informático, o las emisiones electromagnéticas
provenientes de un sistema informático que los
transporte, incurrirá en pena de prisión de 36 a 72
meses.
http://www.sic.gov.co/recursos_user/documentos/norm
atividad/Ley_1273_2009.pdf
Fecha del incidente: 7 de septiembre de 2018.
Duración del incidente: 8 meses.
Detalles del incidente: Los servicios y productos que
ofrece su rival tienen menor costo y adicionan sin valor
algunos servicios o promociones y las promociones de
Construyendo hogar han mejorado en relación a Casa
Moderna. El detalle más particular es que algunos ex
empleados de Casa Moderna trabajan para la
competencia. Además ha contratado a 3 más hace 8
meses, uno en el área comercial (hace 8 meses), otro en
R.R.H.H (recursos humanos, hace 6.5 meses) y otro en
el área de mantenimiento (hace 4 meses) y cada uno de
ellos maneja una host (PC microtorre G1 200 HP)
conectado a la LAN y poseen internet en sus oficinas.
Información General:
Nombre de la empresa: CASA MODERNA
Numero empleados antiguos: 30
Área: comercial.
Tiempo de contratación: hace 8 meses.
Área: recursos humanos.
Tiempo de contratación: hace 6.5 meses.
Área: Mantenimiento
Tiempo de contratación: hace 8 meses
Información Sobre El Equipo Afectado:
Dirección IP: 192.168.x.y.
Nombre del equipo: NO.
Sistema operativo (nombre y versión): NO.
Función del equipo: red LAN.
Copias o imágenes de la escena del crimen: NO
Dirección IP: 192.168.x.y.
Nombre del equipo: PC microtorre G1 280 HP
Sistema operativo (nombre y versión): NO.
Función del equipo: red LAN.
Copias o imágenes de la escena del crimen: NO
Identificar las evidencias: Host, Red LAN, PC
microtorre.
Etapa 2: Asegurar la escena
Modo de almacenamiento
Volátiles: Aquellas que se perderán al apagar el equipo
como la hora del sistema y desfase de horario,
contenido de la memoria, procesos en ejecución,
programas en ejecución, usuarios conectados,
configuración de red, conexiones activas, puertos
abiertos, etc.
No volátiles: medios físicos de almacenamiento como
memorias flash, CD, discos duros.
Fase de Validación y preservación:
En esta fase, es imprescindible definir los métodos
adecuados para el almacenamiento y etiquetado de las
evidencias. Una vez que se cuenta con todas las
evidencias del incidente es necesario conservarlas
intactas ya que son las “huellas del crimen”, se deben
 asegurar estas evidencias a toda costa; teniendo en año 2017 y actualmente soy estudiante en la especialización de
cuenta dos etapas: Seguridad informática de la UNAD.

Etapa 1: Copias de la evidencia

Como primer paso se debe realizar dos copias de las

evidencias obtenidas, generar también una suma de
comprobación de la integridad de cada copia mediante
el empleo de funciones hash tales como MD5 o SHA1.

Etapa 2: Cadena de custodia

III. CONCLUSION

IV. AGRADECIMIENTOS

V. REFERENCIAS

[1] Paus, L. (2015). 5 fases fundamentales del análisis forense digital. [en
línea] Disponible en: https://www.welivesecurity.com/la-
es/2015/04/15/5-fases-analisis-forense-digital/

[2]

[3]

[4] Cancelado Ruiz, M. (2016). Unidad 1 - Fundamentos de Informática

Forense. Hdl.handle.net. Retrieved 23 December 2016, Recuperado de:
http://hdl.handle.net/10596/10160
[5]

[6]

[7]

VI. BIOGRAFIA

Jenny Paola Giraldo Martínez, nació en

Colombia – Bogotá, el 8 de mayo de 1985. Se
graduó de la Universidad Autónoma de Colombia
como ingeniería de Sistemas, y actualmente estudio
especialización en Seguridad Informática en la
UNAD

Yeimar Alonso Castro Maturana, Ingeniero

de Sistemas egresado de la Universidad
Cooperativa de Colombia en el año 2016
actualmente radicado en el municipio de
Apartado-Antioquia. Me desempeño como
instructor de Análisis y Desarrollo de Sistemas
de información en la institución Sena desde el