Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Análisis Forense
Contenid
o
COMPUTACIÓN FORENSE
FORENSIC
El análisis forense informático
es la agrupación de:
Se aplican a :
INFRAESTRUCTURA TECNOLÓGICA
Estas técnicas permiten :
Nos permite analizar las consecuencias que han producido en los sistemas informáticos
de la empresa, averiguar quién ha sido el autor, las causas, la metodología empleada y
detectar las debilidades de nuestros sistemas informáticos que han ocasionado el
ataque.
En esta se recopila la información necesaria para
trabajar sobre la fuente de datos presentada por el
administrador de los servidores (solicitud forense).
Aquí se pregunta:
Etapa 1: Etapa 2:
Etapa 1: Etapa 2:
Utilización de formularios
de registro del incidente
Etapa 2:
Informe Técnico
Es un resumen del análisis
Etapa 3: efectuado pero empleando una
explicación no técnica, con
lenguaje común, en el que se
expondrá los hechos más
destacables de lo ocurrido en el
sistema analizado.
Constará de pocas páginas, entre
tres y cinco, y será de especial
interés para exponer lo sucedido al
personal no especializado en
sistemas informáticos, como pueda
Informe Ejecutivo
ser el departamento de Recursos
Humanos, Administración e incluso
algunos directivos.
El perito informático es un perito judicial, que en su carácter de auxiliar de la justicia tiene como tarea
primordial la de asesorar al juez respecto a temas relacionados con la informática. La función del perito
informático consiste en el análisis de elementos informáticos, en busca de aquellos datos que puedan
constituir una prueba o indicio útil para el litigio jurídico al que ha sido asignado.
METOLOGÍA DE ANÁLISIS FORENSE
• Logs de Eventos,
• logs de errores,
• logs de transacciones,
• etc.
Evidencia Digital
Registros parcialmente generados y
almacenados en un equipo informático:
https://sapsi.org/metodologia-analisis-forense/
http://inf162-grupo8-12011.blogspot.com/2011/03/1-estudio-preliminar.html
Presentación y Realización
Análisis e Investigación del Informe Pericial
La redacción del Informe Pericial es una
En esta etapa se lleva a cabo el tarea compleja, porque no sólo hay que
análisis de las evidencias digitales recoger todas las evidencias, indicios y
https://jdgperitajesinformaticos.es/etapas-de-un-analisis-forense/
y sencilla.
https://www.prakmatic.com/seguridad-ti/que-es-el-analisis-forense-informatico/
https://www.adalid.com/informe-pericial-instrumento-la-justicia/
Gestión de
Incidentes
Un incidente de seguridad informática es la violación
o amenaza inminente a la violación de una política
de seguridad de la información implícita o explícita.
• Acceso no autorizado
• Robo de contraseñas
• Robo de información
• Denegación de servicio
En la gestión de incidentes podemos encontrar las
siguientes fases del ciclo de vida para la gestión de
incidentes.
file:///D:/Usuario%20NO%20BORRAR/Downloads/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
Fase Preparación
➢ Organización.
➢ Marco.
➢ Grupo de trabajo.
➢ Tiempo.
➢ Notificación .
➢ Contacto.
➢ Indicadores. file:///D:/Usuario%20NO%20BORRAR/Downloads/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
➢ Comunicación.
➢ Arquitectura de seguridad.
➢ Herramientas.
Fase Detección y Análisis
file:///D:/Usuario%20NO%20BORRAR/Downloads/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
https://bbc.in/2xsdfnG
https://bit.ly/2UIiirM
Delito Informático
Pornografía Infantil: Delito que se comete
cuando se envían archivos de imágenes o https://bit.ly/2wGre9k
video por la web con contenido sexual
explícito con menores de edad.
https://bit.ly/3bzf28X
Herramientas
Herramientas de encriptación: Mediante
este tipo de software se cifran archivos o
documentos utilizando un algoritmo
específico.
https://bit.ly/2xrkz2M https://bit.ly/2UmnsuH
Herramientas
Emuladores: Tipo de software que permite
ejecutar software (programas o Herramientas de borrado de archivos:
videojuegos) en una plataforma diferente Son programas que permiten borrar
para el que fue desarrollado, tanto a nivel archivos en un dispositivo de
de hardware como de sistema operativo. almacenamiento de manera segura, de tal
forma que no se pueda recuperar el archivo
borrado mediante un programa
especializado en recuperación de archivos.
Este tipo de software se suele utilizar en la
medida que necesitamos eliminar
documentación confidencial de un
dispositivo de almacenamiento, al cual https://bit.ly/2WP3r1A
puede tener acceso personal sin la
autorización pertinente para su lectura.
Herramientas
Herramientas de recuperación de
Contraseñas: Herramientas que permiten https://bit.ly/3bytjD9
recuperar contraseñas usadas en el sistema
operativo investigado.
https://bit.ly/2xoRtRD
Herramientas
Herramientas de análisis de discos
(Montaje y Recuperación): Software que
permite montar imágenes de discos, https://bit.ly/2QQjQin
producto de copias a la evidencia original,
para su análisis especializado y determinar
si la imagen está afectada en su integridad.
¿QUE ES MALWARE?
• Aceptable
• Autentica
• Completa
• Confiable
• Creíble
VALIDEZ DE LA PRUEBA
AUTENTICIDAD
LEGALIDAD
• Fijación
• Constitución Nacional
• Recolección
• Leyes y normas
• Embalaje
• Juez de control de garantías
• Cadena de custodia
POR QUE SE USA
La compensación de los daños
1 causados por los criminales o intrusos
La persecución y procesamiento
2 judicial de los crímenes
• Identidad interna
• Competencia desleal
• Fuga de Información
• Violación de propiedad intelectual
• Acceso abusivo a un sistema informático
• Pornografía infantil
Cadena de custodia
La recuperación de datos es necesaria por distintos motivos, como por ejemplo daños
físicos en el medio de almacenamiento (averías electrónicas, averías mecánicas, golpes,
incendios, inundaciones, etc.) o averías lógicas (daños en el sistema de archivos, daño en
las particiones, archivos eliminados, formateos accidentales, etc..).
Escenarios de la recuperación de
datos
El escenario más común de "recuperación de datos" involucra una falla en el sistema
operativo (en el disco completo, una partición, un sector), en este caso el objetivo es
simplemente copiar todos los archivos requeridos en otro disco.
Esto se puede conseguir fácilmente con un Live CD, la mayoría de los cuales proveen un
medio para acceder al sistema de archivos, obtener una copia de respaldo de los discos o
dispositivos removibles, y luego mover los archivos desde el disco hacia el respaldo con
un administrador de archivos o un programa para creación de discos ópticos.
Escenarios de la recuperación de
datos
El segundo escenario involucra una falla a nivel de disco, tal como un sistema de
archivos o partición de disco que esté comprometido, o una falla en el disco duro. En
cualquiera de estos casos, los datos no pueden ser fácilmente leídos.
En el transcurso de esto, el archivo original puede ser recuperado. Aunque hay cierta
confusión acerca del término, la "recuperación de datos" puede también ser usada en el
contexto de aplicaciones de informática forense o de espionaje.
BIBLIOGRA
FIA
https://duriva.university/valor-curricular-diplomados/computo-forense-delitos-informaticos/
https://securitcrs.wordpress.com/analisis-forense/
https://infusc2012.wordpress.com/2012/04/12/informatica-forense/
https://techinme.com/computer-forensics-tech-beginners-guide/
http://symposium.uoc.edu/11570/detail/el-papel-de-las-telecomunicaciones-en-las-infraestructuras-tecnologicas-del-futuro..html
http://marcelo-anunciostecnologicos.blogspot.com/2011/05/infraestructuras-tecnologicas.html
http://www.ficaconsulting.com.do/cw/publicaciones/11-auditoria/698-como-identificar-riesgos-catalogo-de-riesgos
http://archivistica.blogspot.com/2012/08/macroestructura-en-la-generalitat.html
https://www.exa.unrc.edu.ar/eventos/curso-de-posgrado-sobre-estadistica-multivariada/
https://www.loggro.com/blog-contabilidad/los-plazos-de-los-grandes-contribuyentes-para-presentar-la-informacion-exogena-de-2017/
http://informaticaforenseunadcd.blogspot.com/p/frases-informatica-forense.html
https://www.expertosdecomputadoras.com/como-utilizar-copia-de-seguridad-y-restaurar-windows-7/
https://www.youtube.com/watch?v=CBmjEQoHiuI
https://obsbusiness.school/es/blog-investigacion/finanzas/preparar-las-cuentas-paso-esencial-antes-del-analisis-financiero
https://seguridad.cicese.mx/alerta/256/Gu%C3%ADa-para-protegerse-de-las-nuevas-amenazas-cibern%C3%A9ticas-en-l%C3%ADnea
https://noticias.universia.edu.pe/en-portada/noticia/2014/05/07/1096041/6-consejos-tomar-mejores-apuntes-universidad.html
https://blog.embluemail.com/fechas-especiales-email-marketing/
INTRODUCCIÓN A LA INFORMÁTICA Y
AUDITORÍA FORENSE
INTEGRANTES:
Luis Riaño
John Lesmes
Yesid Hurtado
Jaime Nieto
Ingrid Castillo
Cipa Maorí
Contenido
1. Qué es exactamente la informática forense, Finalidad 11. Reglas para la realización de un buen informe
de un análisis forense 12. Herramientas y técnicas de análisis forense
2. Principales razones que desencadenan un análisis 13. Análisis práctico de los fundamentos y las
forense posibles dificultades de un análisis informático
3. Vertientes de un análisis forense forense
3.1. Dispositivos de almacenamiento 14. Estructura física de un disco duro
3.2. Identificación de objetivos 15. Estructura lógica de un disco duro
3.3. Preservación de evidencias 16. FAT, NTFS, EXT2, EXT3, EXT4, HFS+
4. Procedimiento de clonado 17. Borrado de datos, Qué es realmente el
5. Revisión del checksum Herramienta borrado, Borrado Seguro
6. Recuperación y análisis 18. Posibles dificultades en un análisis forense
7. Recuperación de datos borrados y perdidos 19. Sectores defectuosos
8. Aplicación de técnicas de análisis sobre los datos 20. Condiciones de trabajo adversas
adquiridos 21. Discos duros dañados
9. Presentación de resultados y objetivos del proceso de 22. Sistemas RAID
análisis forense 23. Encriptación
10. Importancia de la documentación durante el proceso 24. Antiforénsica
1. Qué Es Exactamente La Informática Forense
Una de las finalidades del Análisis Forense es la prevención, lo que permite a empresas y
profesionales auditar los mecanismos de protección que fueron instalados en los equipos
informáticos y también sobre las condiciones y estrategias de seguridad con las que cuenta la
empresa.
1 Pedofilia
Evasión de
impuestos 2
3
Delitos
Financieros
3. Vertientes de un análisis forense
En un análisis forense lo estudios que se
realizan pueden llegar a ser similares a una
autopsia, pero en este caso no de un cuerpo
humano; las indagaciones se realizan a través
de tres grandes vertientes que son
computadores y dispositivos, redes y
evidencias digitales; gracias al análisis de la
primera vertiente se puede llegar a las
siguientes, que se definen básicamente como
una serie de datos que se encuentran dentro
de los sistemas electrónicos, mediante los
Figura 2. La vanguardia de la ciencia forense
cuales se pueden llegar a establecer pistas o Recuperado de: https://argadetectives.com/blog/el-papel-del-perito-informatico-
forense-que-es-la-informatica-forense-historia-y-evolucion.html
evidencias.
3. Vertientes de un análisis forense
3.1. Dispositivos de almacenamiento
Un dispositivo de almacenamiento es cualquier hardware capaz de almacenar información de
forma temporal o permanente. Estos dispositivos realizan las operaciones de lectura y/o escritura
de los medios o soportes donde se almacenan, lógica y físicamente, los archivos de un sistema
informático.
✓ Identificación.
✓ Preservación.
✓ Recuperación y Análisis.
✓ Presentación de resultados objetivos.
✓ Destrucción segura del bien clonado
(información).
Figura 3. dispositivo de almacenamiento
Recuperado de: https://comofriki.com/que-es-un-
dispositivo-de-almacenamiento/
3. Vertientes de un análisis forense
3.2. Identificación De Objetivos
LOS OBJETIVOS DEL ANÁLISIS FORENSE:
La preservación de la evidencia digital es tal vez uno de los procesos más críticos dentro de la
investigación forense, la evidencia digital potencial, es muy frágil y puede ser destruida o
alterada con mucha facilidad.
La evidencia debe ser recolectada siguiendo los más altos estándares relacionados con la
investigación forense, debe efectuarse por personal experto y autorizado.
4.Procedimiento de clonado
Los formularios previamente impresos se utilizan ampliamente ya sea en el campo como en el laboratorio. Estos
ayudan a guiar al personal a través del proceso, y aseguran se mantiene un alto nivel de calidad. Los formularios
aseguran toda la información necesaria es capturada de manera uniforme. Típicamente, los formularios son utilizados
para describir la evidencia con detalle (marca, modelo, número de serie, etc.), documentar la cadena de custodia,
solicitar un análisis, etc.
Las notas del analista abarcan la mayoría, sino todas, las acciones y observaciones del analista junto con sus
correspondientes fechas. Estos deben ser lo suficientemente detallados para permitir a otro analista duplique el
proceso utilizado durante el análisis. Entre las cosas típicamente registradas se incluyen:
Discusiones con los actores clave, incluyendo fiscales e investigadores.
13 Importancia de la documentación durante el proceso
➢ Discusiones con los actores clave, incluyendo fiscales e investigadores.
➢ Irregularidades detectadas y acciones asociadas.
➢ Sistemas operativos, versiones y estado de parche.
➢ Contraseñas.
➢ Cualquier cambio realizado en el sistema por parte del personal del laboratorio y de la fuerza legal.
El reporte final del analista
El informe final del analista es el documento formal entregado a los fiscales, investigadores, abogado opositor, y así sucesivamente
hasta o cerca al final de una investigación. Estos reportes están típicamente constituidos de:
Es un motor que mueve los cabezales sobre el disco hasta llegar a la pista
adecuada, donde esperan que los sectores correspondientes giren bajo ellos
para ejecutar de manera efectiva la lectura/escritura.
Pistas:
Se sabe que el disco duro tiene una cabeza de lectura/escritura para cada cara de un
plato, entonces si se sabe el numero de cabezas que hay en un disco duro
automáticamente se sabe el numero de platos que contiene y viceversa. Ejemplo: Si se
tiene 5 platos entonces se tiene 10 cabezas de lectura/escritura.
El número de pistas varia según el tipo de disco duro, para los discos duros antiguos el
numero de pista era de 305 en cambio los discos duros más nuevos pueden tener 16000
pistas o más.
El número de pistas por superficie es igual al número de cilindros. Al multiplicar el número
de cabezas con el número de cilindros se sabe el número de pistas del disco.
El número de sectores varía según el tipo de disco duro, para los discos duros antiguos el
número de sectores era de 8 en cambio para los discos duros más modernos es de 60
sectores o más.
16 Estructura Fisica de un disco duro
Disco Duro de estado solido
Los HDD de estado solido o tarjetas SSD por sus siglas en ingles (solid-state drive) son el
presente del almacenamiento y una oportunidad de negocio.
1. Memoria Flash.
Es quién soporta la información, y una pieza muy valiosa, que representa sobre el 70% del
coste de la unidad.
Se trata de memoria RAM que se usa como archivo temporal antes de la escritura
definitiva en la memoria flash. Es una memoria volátil, en caso de pérdida súbita de
energía, la información que contiene puede perderse. Algunos modelos ofrecen
opciones de seguridad que impiden que se pierda, muy interesantes sobre todo si
tus clientes utilizan BBDD y aplicaciones, ya que en caso contrario una pérdida de la
caché las volvería inútiles.
18 Estructura lógica de un disco duro
La estructura lógica de un disco duro esta formado por:
Sector de arranque.
Espacio particionado.
Espacio sin particionar.
Espacio particionado: Es el espacio del disco que ha sido asignado a alguna partición.
Espacio sin particionar: Es el espacio del disco que no ha sido asignado a ninguna partición. A su vez la
estructura lógica de los discos duros internamente se pueden dividir en varios volúmenes homogéneos dentro
de cada volumen se encuentran una estructura que bajo el sistema operativo MS-DOS es el siguiente:
18 Estructura lógica de un disco duro
Cada zona del volumen acoge estructuras de datos del sistema de archivos y también los diferentes
archivos y subdirectorios. No es posible decir el tamaño de las diferentes estructuras ya que se adaptan al
tamaño del volumen correspondiente.
18 Estructura lógica de un disco duro
1.-Sector de arranque (BOOT): En el sector de arranque se encuentra la información acerca de la estructura de volumen y
sobre todo del BOOTSTRAP-LOADER, mediante el cual se puede arrancar el PC desde el DOS. Al formatear un volumen el
BOOT se crea siempre como primer sector del volumen para que sea fácil su localización por el DOS.
2.-Tabla de asignación de ficheros (FAT): La FAT se encarga de informar al DOS que sectores del volumen quedan libres, esto
es por si el DOS quiere crear nuevos archivos o ampliar archivos que ya existen. Cada entrada a la tabla se corresponde con
un número determinado de sectores que son adyacentes lógicamente en el volumen.
3.-Uno o más copias de la FAT: El DOS permite a los programas que hacen el formateo crear una o varias copias idénticas de
la FAT, esto va a ofrecer la ventaja de que se pueda sustituir la FAT primaria en caso de que una de sus copias este
defectuosa y así poder evitar la perdida de datos.
4.-Directorio Raíz: El directorio raíz representa una estructura de datos estática, es decir, no crece aún si se guardan más
archivos o subdirectorios. El tamaño del directorio raíz esta en relación al volumen, es por eso que la cantidad máxima de
entradas se limita por el tamaño del directorio raíz que se fija en el sector de arranque.
5.-Zona de datos para archivos y subdirectorios: Es la parte del disco duro donde se almacenan los datos de un archivo. Esta
zona depende casi en su totalidad de las interrelaciones entre las estructuras de datos que forman el sistema de archivos del
DOS y del camino que se lleva desde la FAT hacia los diferentes sectores de un archivo.
19 FAT, NTFS, EXT2, EXT3, EXT4, HFS+
FAT12, FAT16 and FAT32 (FILE ALLOCATION TABLE)
Hoy el sistema de archivos de Windows más popular es el Sistema de archivos de nueva tecnología o
NTFS. Fue introducido en 1993 para superar las limitaciones de FAT32 y tiene un límite de tamaño de
archivo de 16 exabytes (un exabyte es de 1 millón de terabytes, por lo que, en la práctica, sin restricción de
tamaño de archivo). NTFS también es un sistema de archivos de registro en diario, lo que significa que
mantiene un registro de cambios, por lo que puede recuperarse después de un bloqueo del sistema o una
falla de energía. NTFS también admite permisos de archivos, cifrado de archivos y otras características que
hacen que NTFS sea más adecuado que un FAT32. Por estos motivos, todas las versiones modernas de
Windows deben instalarse en una unidad con formato NTFS. El único inconveniente real de NTFS es la falta
de compatibilidad con versiones anteriores de Windows y sistemas operativos que no son Windows. Por
ejemplo, los volúmenes NTFS predeterminados son de solo lectura en Mac OS y en distribuciones de Linux
más antiguas, y es posible que no se puedan leer en otros dispositivos, como reproductores multimedia
independientes.
19 FAT, NTFS, EXT2, EXT3, EXT4, HFS+
exFAT (extended File Allocation Table)
Microsoft introdujo exFAT o la tabla extendida de asignación de archivos en 2006 como un sistema de archivos
optimizado para unidades flash USB y tarjetas de memoria de alta capacidad. exFAT es menos sofisticado que
NTFS pero tiene beneficios significativos sobre FAT32. El tamaño máximo de archivo es de 16 exabytes o
efectivamente ilimitado, lo que hace que exFAT sea la mejor opción para formatear tarjetas de memoria. Por esta
razón, exFAT ha sido adoptado por la Asociación de tarjetas SD como el sistema de archivos predeterminado
para las tarjetas de memoria SDXC. En términos de compatibilidad, exFAT disfruta de un soporte más amplio que
no es Windows que NTFS. Tiene soporte de lectura y escritura en Mac OS y versiones recientes de Android.
Muchos sistemas Linux requieren la instalación de controladores adicionales para acceder a dispositivos exFAT.
En 1992, el Sistema de archivos extendido o ext se lanzó específicamente para el sistema operativo Linux. En
1993, se lanzó una actualización llamada Extended File System 2 o ext2, que fue durante muchos años el sistema
de archivos predeterminado en muchas distribuciones de Linux.
19 FAT, NTFS, EXT2, EXT3, EXT4, HFS+
HFS, HFS+, APFS (Hierarchical File System)
HFS o el Sistema de archivos jerárquico fue introducido por Apple en 1985 para su uso en Mac OS. Ofrece un tamaño
máximo de archivo de dos gigabytes y un tamaño de volumen máximo de dos terabytes. HFS también se conoce como
Mac OS Standard.
En 1998, HFS se actualizó a una nueva versión llamada HFS + o HFS Extended o también conocida como Mac OS
Extended. Esta edición agregó el registro en diario y tiene un tamaño máximo de archivo y un volumen de ocho
exabytes (cuando se usa Mac OS 10.4 o superior). En 2017, Apple introdujo un nuevo sistema de archivos llamado APFS
o Apple File System, que está optimizado para SSD y otros medios de estado sólido. HFS, HFS + y APFS no son
compatibles de forma nativa con Windows, Linux u otros sistemas operativos que no sean de Apple.
ZFS o el Sistema de archivos Zed fue lanzado inicialmente en 2006 por Sun Microsystems. Desde 2013 ha sido
desarrollado por el proyecto Open ZFS. ZFS difiere de otros sistemas de archivos porque integra un administrador de
volúmenes para controlar el hardware de almacenamiento conectado a una computadora.
20 Borrado de datos, Qué es realmente el borrado,
Borrado Seguro
Cualquier unidad de almacenamiento se escribe con bits. Aunque esos bits ya no indiquen que son un archivo o carpeta
visibles por tu sistema operativo, hasta que no sean reescritos esos bits seguirán siendo recuperables.
Esto es así en cualquier tecnología de almacenamiento, como discos duros o HDD o discos de estado sólido o SSD,
sean discos internos, externos, tarjetas de memoria para la cámara de fotos, stickers o memorias USB. Formatear un
disco con el método por defecto permite entender a cualquier dispositivo o sistema operativo que esa unidad de
almacenamiento está disponible para llenar con nuestros archivos y carpetas. Sin embargo, el contenido anterior sigue
ahí hasta que sea sobrescrito por otro archivo.
Active@ KillDisk nos permite formatear y borrar los datos de discos externos o secundarios desde Windows. Para ello
ofrece soporte para distintos sistemas de archivos (incluyendo HFS+ y exFAT), y hasta 25 estándares de seguridad para
elegir el que más se adapte al tiempo que tenemos o la seguridad que buscamos.
HDShredder es una herramienta para formatear discos y borrar particiones de forma segura. Disponible en varias
versiones, una de ella gratuita, es compatible con discos internos y externos, unidades USB, etc.
Hardwipe sirve para formatear discos desde Windows o desde un pendrive USB externo. Es gratuito para uso personal
y cuenta con estándares de seguridad como GOST R 50739-95, DOD 5220.22-M, Schneier y Gutmann.
20 Borrado de datos, Qué es realmente el borrado,
Borrado Seguro
Borrado seguro en MacOS
Si necesitas eliminar los datos de un pendrive o disco duro externo de forma segura, macOS cuenta con las opciones
necesarias gracias a su Utilidad de discos.
Desde Utilidad de discos podemos gestionar, formatear y particionar cualquier unidad de disco, interna o externa.
Respecto al borrado seguro, pulsando en la unidad a formatear, pulsamos en Borrar > Opciones de seguridad… y
tendremos cuatro métodos distintos de borrado, de más rápido a más seguro.
El primero corresponde al método de formateo rápido habitual, que simplemente reescribe la tabla de archivos. El
segundo reescribe la tabla y sobrescribe los datos dos veces. El tercer método realiza tres borrados sucesivos,
sobrescribiendo el disco dos veces con datos aleatorios.
Finalmente, el método más seguro que ofrece MacOS borra los datos y sobreescribe el disco 7 veces, tal y como
especifica la normativa del Ministerio de Defensa de Estados Unidos DoD 5220-22 M.
Existen sistemas más seguros, como el Método Gutmann, que reescribe hasta 35 veces los datos del disco. Sin
embargo, con el método anterior de reescribir 7 veces el disco ya podremos estar bastante seguros.
¿QUE SON LAS PARTICIONES?
• Cada disco duro constituye una unidad física distinta.
• Sin embargo, los sistemas operativos no trabajan con unidades físicas
directamente sino con unidades lógicas.
• Dentro de una misma unidad física de disco duro puede haber varias
unidades lógicas. Cada una de estas unidades lógicas constituye una
partición del disco duro.
• Esto quiere decir que podemos dividir un disco duro en, por ejemplo, dos
particiones (dos unidades lógicas dentro de una misma unidad física) y
trabajar de la misma manera que si tuviésemos dos discos duros (una unidad
lógica para cada unidad física).
UTILIDAD DE LAS PARTICIONES
• Un disco duro debe tener hechas las particiones y estar formateado para poder
almacenar datos en el mismo.
• A menudo, dos sistemas operativos no pueden coexistir en la misma partición. La
unidad se particiona para diferentes sistemas operativos.
• En algunos sistemas operativos aconsejan más de una partición para funcionar,
como por ejemplo, la partición de intercambio (swap) en los sistemas operativos
basados en Linux.
• Se puede guardar una copia de seguridad de los datos del usuario en otra partición
del mismo disco, para evitar la pérdida de información importante.
• Uno de los principales usos que se le suele dar a las particiones (principalmente a la
extendida) es la de almacenar toda la información del usuario (música, fotos, vídeos,
documentos), para que al momento de reinstalar algún sistema operativo se
formatee únicamente la unidad que lo contiene sin perder el resto de la información
del usuario.
TIPOS DE PARTICIÓN.
Partición Primaria:
• Un disco físico completamente formateado consiste, en realidad de una partición primaria que
ocupa todo el espacio del disco y posee un sistema de archivos.
• Son las divisiones primarias del disco, solo puede haber 4 de éstas o 3 primarias y una extendida.
• A este tipo de particiones, prácticamente cualquier sistema operativo puede detectarlas y asignarles
una unidad, siempre y cuando el sistema operativo reconozca su forma (sistema de archivos).
Partición extendida:
CON, AUX, COM1, COM2, COM3, COM4, LPT1, LPT2, LPT3, PRN, NUL
POSIBLES DIFICULTADES EN UN ANALISIS FORENSE.
• La interacción entre los operadores judiciales los peritos informáticos.
• Recuperar ficheros borrados.
• La aprobación de una autorización judicial para el peritaje en vivo.
• Utilizar toolkits para ver los puertos abiertos, direcciones ip, visualizar logs del sistema.
• La perdida de información en la cadena de custodia. Es la documentación aplicada sobre
los elementos de prueba que permite asegurar y demostrar la identidad, la integridad, la
preservación y el registro de la continuidad de la prueba.
• No modificar las evidencias y realizar un backup de ellas teniendo en cuenta que no se
alteren los resultados.
• El funcionamiento de laboratorios forenses y la interacción con la justicia.
• La experticia del perito forense.
• Por donde iniciar el análisis forense.
SECTORES DEFECTUOSOS.
• Los sectores defectuosos duros son los que están físicamente dañados, o en un
estado magnético rígido. Este tipo de sectores defectuosos no se puede repara.
● Equipos de emergencia
● Personal de Criminalística
● Acciones de la víctima
● Clima y naturaleza
● Descomposición
● Transferencia secundaria
Discos Duros
Dañados
Al tratar con discos duros que contengan
sectores dañados / imposibles de leer, es
importante saber exactamente dónde están
esos sectores dañados. Pueden estar
presentes únicamente en un espacio no
usado del disco (y, por tanto, con pocas
consecuencias) o pueden resultar críticos.
https://www.autopsy.com/
Use OSF para confirmar que los archivos no
han sido dañados o alterados al comparar
valores hash o identificar si un archivo
desconocido pertenece a un conjunto
conocido de archivos. Verifique y combine
archivos con hash MD5, SHA-1 y SHA-
256.Encuentra archivos con nombres
incorrectos donde los contenidos no
coinciden con su extensión.
https://www.osforensics.com/
Bulk Extractor
https://github.com/simsong/bulk_extractor
El Software Forense EnCase es capaz
de realizar adquisiciones, restaurar
unidades de disco duro (clonar bit por bit
y hacer un HDD clonado), completar una
amplia investigación a nivel de disco, y
crear informes extensos, entre muchas
otras cosas.
CAINE es una Distribución GNU/Linux
creada como un Proyecto de Forense
Digital, ofrece un completo entorno
forense que está organizado para
integrar herramientas de software
existentes como módulos de software y
proporcionar una interfaz
gráfica amigable.
https://www.caine-live.net/
CSI Linux Analyst
https://csilinux.com/
TÉCNICAS DE HACKING EN
APLICACIONES PARA DISPOSITIVOS
MÓVILES FACEBOOK Y WHATSAPP
TÉCNICAS DE HACKING EN APLICACIONES PARA
DISPOSITIVOS MÓVILES FACEBOOK Y WHATSAPP
https://www.spyzie.com/es/
TÉCNICAS DE HACKING EN APLICACIONES PARA
DISPOSITIVOS MÓVILES FACEBOOK Y WHATSAPP
https://www.zimperium.com/zanti-mobile-penetration-testing
TÉCNICAS DE HACKING EN APLICACIONES PARA
DISPOSITIVOS MÓVILES FACEBOOK Y WHATSAPP
FaceNiff
http://faceniff.ponury.net/
cSploit es una suite se seguridad para
análisis de redes y pentesting desde el
móvil.
Con cSploit podrás mapear tu red, descubrir
servicios activos, buscar vulnerabilidades,
realizar ataques es MitM, manipular trafico
de red en tiempo real
https://github.com/cSploit/android
FBI: (Facebook Information)
FBI (Facebook Information) es una
recopilación precisa de información de la
cuenta de Facebook, toda la información
confidencial se puede recopilar
fácilmente aunque el objetivo o victima
convierta toda su privacidad en (solo
yo), información confidencial sobre
residencia, fecha de nacimiento,
ocupación, número de teléfono y
dirección de correo electrónico y la de
todos sus contactos.
https://github.com/xHak9x/fbi
Termux es un emulador de terminal
Android y una aplicación de entorno
Linux que funciona directamente sin
necesidad de enrutamiento o
configuración.
https://termux.com/
Ngrok
Ngrok es un proxy inverso que crea un túnel
seguro desde un punto final público a un
servicio web que se encuentra alojado y se
ejecuta localmente. Ngrok captura y analiza
todo el tráfico sobre el túnel para su posterior
inspección y reproducción.
https://ngrok.com/
¿Qué es Kali Linux?
Kali Linux se lanzó el 13 de marzo de 2013.
En el extremo inferior:
En el extremo superior:
• 2048 MB de RAM
• 20 GB de espacio en disco.
Algunas de las muchas
herramientas que podemos
encontrar en Kali Linux, en
sus diferentes categorías.
Kali Linux NetHunter
https://www.kali.org/downloads/
• De ser preferible, tomar una fotografía del equipo o sitio del incidente antes de
tocarlo.
• Establecer un perímetro de seguridad, para que nadie pueda acercarse.
• Si el equipo se encuentra encendido, no se debe apagar, deberá procederse a
realizar los siguientes procedimientos:
o Sellar los puertos USB, firewire, Unidades CD/DVDetc…para impedir
alguna alteración posterior al registro de la escena.
o Tomar fotografías de lo que se puede ver en la pantalla (software
corriendo, documentos abiertos, ventanas de notificación, hora y fecha
ilustrados)
o Asegurar el equipo (Si es portátil, tratar de mantenerlo encendido con el
cargador hasta hacer entrega o iniciar el análisis respectivo).
o Si es posible capturar información volátil del equipo antes de que se
apague, debe hacerse empleando las herramientas forenses necesarias.
Las fuentes más comunes para encontrar información son las siguientes:
Está creada en lenguaje Perl y actualmente tiene la versión en código JAVA. Esta
plataforma de análisis forense digital es usada por gobiernos y entidades públicas como
privadas, fuerzas de seguridad como policías y militares, profesionales y peritos
informáticos para investigar lo ocurrido en un ordenador después de algún incidente
(como un ataque o una falla), intentando recuperar archivos o buscar manipulaciones del
sistema.
• Use OSForensics para confirmar que los archivos no han sido dañados o alterados al
comparar valores hash o identificar si un archivo desconocido pertenece a un conjunto
conocido de archivos. Verifique y combine archivos con hash MD5, SHA-1 y SHA-
256.Encuentra archivos con nombres incorrectos donde los contenidos no coinciden con
su extensión.
• Bulk Extractor es una herramienta informática forense que es capaz de analizar una
imagen de disco, un archivo o un directorio de archivos y extraer la información útil sin
necesidad de analizar las estructuras del sistema de archivos.
Los resultados que se obtienen de estos análisis luego pueden ser fácilmente
inspeccionados o procesados con otras herramientas especializadas. Otra de las grandes
ventajas de ignorar para el análisis los sistemas de archivos es que este software se puede
utilizar para procesar cualquier medio digital, incluyendo discos duros, medios de
almacenamiento SSD, medios ópticos, tarjetas de memoria como las utilizadas en cámaras
y smartphones, registros de paquetes de red y muchos otros tipos de información digital
• El Software Forense EnCase es capaz de realizar adquisiciones, restaurar unidades
de disco duro (clonar bit por bit y hacer un HDD clonado), completar una amplia
investigación a nivel de disco, y crear informes extensos, entre muchas otras cosas.
• Spyzie una APK de hackeo Android que puedes utilizar. La aplicación te dejara obtener un
control del dispositivo sin ser detectado. Desde su ubicación hasta las redes sociales,
puedes obtener todo tipo de detalles relacionados a él.
Esta basada en la web, para que los padres puedan rastrear a sus hijos o los dueños de
empresas puedan monitorear a sus empleados. Cuando se usa para rastrear un teléfono o
tablet Android, te permite extraer información del dispositivo Android objetivo después
de un simple proceso de configuración. Puedes ver los datos monitoreados de forma
remota desde cualquiera de tus propios teléfonos inteligentes, tablets o computadoras,
siempre y cuando estén conectados a Internet.
• FaceNiff es una de las principales aplicaciones de hacking de Android que nos permite
interceptar y ver el tráfico de nuestra red WiFi. Esta herramienta es ampliamente utilizada
para husmear en Facebook, Twitter y otros sitios web de redes sociales usando el
dispositivo Android. Esta herramienta favorita de hackers roba las cookies de la red WiFi y
otorga a un atacante un acceso no autorizado a la cuenta de la víctima.
• Ngrok es una herramienta que permite crear una puerta a nuestro servidor local para ser
accedida por cualquier persona en internet con la que compartamos una URL generada
dinámicamente, esto es muy útil por ejemplo cuando necesitamos mostrar avances
constantemente en sitios que se encuentran en etapa de desarrollo o cuando trabajamos
con un equipo de desarrolladores de forma remota.
NGROK nos permite realizar esto sin hacer ninguna configuración extra en el router o
firewall simplemente basta con bajar la pequeña aplicación (apenas 4 MB)
Igualmente esta herramienta es utilida por los ciberdelincuentes para realizar ataques de
phishing actualmente. Crea tu propio servidor de phishing para hackear cuentas de
Facebook u otra red social.
Kali contiene varios cientos de herramientas que están orientadas a diversas tareas de
seguridad de la información, informática forense e ingeniería inversa.
Kali Linux es desarrollado, financiado y mantenido por Offensive Security , una compañía
líder en capacitación en seguridad de la información.
Kali Linux se lanzó el 13 de marzo de 2013 como una reconstrucción completa de arriba a
abajo de BackTrack Linux , que se adhiere completamente a los estándares de desarrollo
de Debian .
2. Los requisitos de instalación para Kali Linux varían según lo que le gustaría instalar.
En el extremo inferior:
Puede configurar Kali como un servidor Secure Shell (SSH) básico sin escritorio, utilizando:
2 GB de espacio en disco.
En el extremo superior:
2048 MB de RAM
20 GB de espacio en disco.
3. Algunas de las muchas herramientas que podemos encontrar en Kali Linux, en sus
diferentes categorías.
Desde hace tiempo, los responsables de Kali Linux llevan apostando por Android para
convertir los smartphones de los usuarios en auténticos dispositivos para hacking ético
que permitan poder llevar a cabo distintas prácticas de seguridad allá donde vayan. Esta
ROM personalizada para hacking ético se llama NetHunter y fue diseñada inicialmente
para los dispositivos Nexus más modernos y, además, para OnePlue One. Hoy en día es
compatible con más de 50 modelos de smartphones Android diferentes.
5. Las diferentes distribuciones de Kali Linux la podemos obtener en su página oficial, donde
tenemos la opción de descargar en imágenes .ISO para instalaciones desde cero o
descargar listas y configuradas para maquinas virtuales en Vmware o VirtualBox.
ETHICAL-HACKING
Marco metodológico de trabajo desarrollado por la OISSG que permite clasificar la información de la
evaluación de seguridad en diversos dominios usando diferentes criterios de prueba. Algunas de las
características más representativas de ISSAF son:
● Brinda medidas que permiten reflejar las condiciones de escenarios reales para las evaluaciones de
seguridad.
● Esta metodología se encuentra principalmente enfocada en cubrir los procesos de seguridad y la
evaluación de los mismos para así obtener un panorama completo de las vulnerabilidades existentes.
● Permite el desarrollo de matriz de riesgo para verificar la efectividad en la implementación de controles
OWASP (SOLICITUD DEL PROYECTO DE SEGURIDAD OPEN WEB)
● Obtención de Información.
● Obtención de acceso.
● Enumeración.
● Escala de privilegios.
● Reporte
OFENSIVA DE SEGURIDAD
Metodología líder a nivel mundial para el desarrollo de pruebas de penetración y estudios de seguridad, la
metodología contempla principalmente los métodos para el desarrollo de estudios de seguridad enfocados
en seguridad ofensiva y teniendo como marco la posibilidad real de explotación independientemente de los
indicadores de riesgos y vulnerabilidades, las principales ventajas de adoptar este marco metodológico
son:
https://www.elladodelmal.com/2018/03/metasploit-como-extender-las.html
Proceso de Penetration Testing
Consiste en emular y simular
comportamientos y técnicas que
pueden ser utilizadas por los
¿Penetration Test?
intrusos con el objetivo de
analizar el nivel de seguridad y
la exposición de los sistemas ante
posibles ataques.
1) Descubrimiento: Se centra en entender los riesgos del negocio asociado al uso de los activos
informáticos involucrados, esta información suele ser (rangos de direcciones de ip asignados,
direcciones de ip de servicios tercerizados, dirección física de la empresa, cuentas de correo, análisis
de la pagina web, redes inalámbricas.
2) Exploración: Se busca focalizar los objetivos para las posteriores etapas de evaluación y intrusión,
esta información suele ser: (detección de módems activos, sistemas operativos, detección de software y
versiones, detección de barreras de protección.
3) Evaluación: Se basa en el análisis de todos los datos encontrados para la detección y determinación
de vulnerabilidades de seguridad informática, esta información suele ser con las herramientas de
scanning de vulnerabilidades.
4) Intrusión: Se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de
secuencias controladas a las vulnerabilidades propias de los sistemas identificados.
Video Pentesting