Informatica Forense Consolidado Cipas PDF

Julio Cesar Cortes Ruiz
Albeiro Parra Sánchez

Luis Emilio Romero López
Lady Angélica Freire Vargas
Análisis Forense
Contenid
o
• Computo Forense • Delito Informático

• Análisis Forense • Herramientas
• Peritaje • Análisis de Malware
• Metodologías • Aseguramiento de Aplicaciones y
• Imagen forense bases de datos
• Evidencia digital • Validez de la prueba
• Ciclos en la informática forense • Cadena de custodia
• Gestión de Incidentes • Recuperación de datos
También es llamado:
INFORMÁTICA FORENSE ANÁLISIS FORENSE DIGITAL
EXAMINACIÓN FORENSE DIGITAL
COMPUTACIÓN FORENSE
FORENSIC
El análisis forense informático
es la agrupación de:
Se aplican a :
INFRAESTRUCTURA TECNOLÓGICA
Estas técnicas permiten :
IDENTIFICAR PRESERVAR ANALIZAR PRESENTAR
DATOS VALIDOS DENTRO DE UN PROCESO LEGAL

El Análisis Forense Informático es, por tanto un análisis que se realiza una
vez se ha detectado la amenaza y ésta se ha materializado.
Nos permite analizar las consecuencias que han producido en los sistemas informáticos
de la empresa, averiguar quién ha sido el autor, las causas, la metodología empleada y
detectar las debilidades de nuestros sistemas informáticos que han ocasionado el
ataque.
En esta se recopila la información necesaria para
trabajar sobre la fuente de datos presentada por el
administrador de los servidores (solicitud forense).
Aquí se pregunta:
¿Qué información se necesita?

¿Cómo aprovechar la información presentada?
¿En qué orden ubico la información?
¿Acciones necesarias a seguir para el análisis forense?
Esta fase culmina con un Plan a seguir de 2 etapas:
Etapa 1: Etapa 2:
Levantamiento de información Asegurar la escena

inicial para el Análisis Forense.
En esta fase, es imprescindible definir los métodos
adecuados para el almacenamiento y etiquetado de las
evidencias. Una vez que se cuenta con todas las
evidencias del incidente es necesario conservarlas
intactas ya que son las “huellas del crimen”, se deben
asegurar estas evidencias a toda costa.
Para ello se sigue el siguiente proceso:
Etapa 1: Etapa 2:
Copias de la evidencia. Cadena de custodia

El Análisis Forense cuyo objetivo es reconstruir con todos los
datos disponibles la línea temporal del ataque, determinando
la cadena de acontecimientos que tuvieron lugar desde el
inicio del ataque, hasta el momento de su descubrimiento.
Este análisis se dará por concluido cuando se descubra:
• cómo se produjo el ataque,

• quién o quienes lo llevaron a cabo,
• bajo qué circunstancias se produjo,
• cuál era el objetivo del ataque,
• qué daños causaron.
Etapa 1: Etapa 2: Etapa 3:
Preparación para Reconstrucción Determinación

el análisis del ataque del ataque
Etapa 4: Etapa 5: Etapa 6:
Identificación Perfil Evaluación del impacto

del atacante del atacante causado al sistema
Es muy importante comenzar a tomar notas sobre todas las
actividades que se lleven a cabo.
Cada paso dado debe ser documentado y fechado desde
que se descubre el incidente hasta que finaliza el proceso
de análisis forense, esto permitirá ser más eficiente y
efectivo al tiempo que se reducirá las posibilidades de error
a la hora de gestionar el incidente.
Etapa 1:
- Documento de custodia de la evidencia.
- Formulario de identificación de equipos
y componentes.
- Formulario de incidencias tipificadas.
- Formulario de publicación del incidente
- Formulario de recogida de evidencias.
- Formulario de discos duros.
Utilización de formularios
de registro del incidente
Etapa 2:
Este informe consiste en una

exposición detallada del
análisis efectuado. Deberá
describir en profundidad la
metodología, técnicas y
hallazgos del equipo forense.
Informe Técnico
Es un resumen del análisis
Etapa 3: efectuado pero empleando una
explicación no técnica, con
lenguaje común, en el que se
expondrá los hechos más
destacables de lo ocurrido en el
sistema analizado.
Constará de pocas páginas, entre
tres y cinco, y será de especial
interés para exponer lo sucedido al
personal no especializado en
sistemas informáticos, como pueda
Informe Ejecutivo
ser el departamento de Recursos
Humanos, Administración e incluso
algunos directivos.
El perito informático es un perito judicial, que en su carácter de auxiliar de la justicia tiene como tarea
primordial la de asesorar al juez respecto a temas relacionados con la informática. La función del perito
informático consiste en el análisis de elementos informáticos, en busca de aquellos datos que puedan
constituir una prueba o indicio útil para el litigio jurídico al que ha sido asignado.
METOLOGÍA DE ANÁLISIS FORENSE
METODOLOGÍA DE ANÁLISIS FORENSE MILITAR

METOLOGÍA DE ANÁLISIS FORENSE METODOLOGÍA DE ANÁLISIS FORENSE MILITAR
Pruebas digitales encontradas en una escena de un delito que pueden servir en un
proceso judicial como evidencia probatoria.
Evidencia Digital
Registros almacenados en un equipo

informático:
• Correos electrónicos
• imágenes
• documentos ofimáticos
• etc.
Evidencia Digital
Registros generados por un equipo

informático:
• Logs de Eventos,
• logs de errores,
• logs de transacciones,
• etc.
Evidencia Digital
Registros parcialmente generados y
almacenados en un equipo informático:
• archivos generados temporalmente por

el navegador de internet mientras
consultamos el ciberespacio.
• archivos generados cuando se ejecuta
un procedimiento por lotes o un
procedimiento almacenado en una base
de datos.
Ciclos en
Informática Forense
El análisis forense se lleva a Podemos encontrar 4 ciclos.

cabo mediante varios ciclos que
ayudan al investigador forense a ✓ Estudio Preliminar.
trabajar con los datos que ha ✓ Adquisición de Datos.
tomado y que definen la ✓ Análisis e Investigación.
metodología a seguir en una ✓ Presentación y Realización
investigación.https://jdgperitajesinformaticos.es/etapas-de-un-analisis-forense/
del Informe Pericial.
Estudio Preliminar Adquisición de Datos
Es el estudio inicial mediante Mediante la adquisición se

la realización de entrevistas y obtienen los datos en medios
la documentación entregada digitales que fueron sometidos
por el cliente. al procedimiento de clonación
https://jdgperitajesinformaticos.es/etapas-de-un-analisis-forense/
https://sapsi.org/metodologia-analisis-forense/
http://inf162-grupo8-12011.blogspot.com/2011/03/1-estudio-preliminar.html
Presentación y Realización
Análisis e Investigación del Informe Pericial
La redacción del Informe Pericial es una
En esta etapa se lleva a cabo el tarea compleja, porque no sólo hay que
análisis de las evidencias digitales recoger todas las evidencias, indicios y
pruebas recabados sino que, además

hay que explicarlos de una manera clara https://jdgperitajesinformaticos.es/etapas-de-un-analisis-forense/
y sencilla.
https://www.prakmatic.com/seguridad-ti/que-es-el-analisis-forense-informatico/
https://www.adalid.com/informe-pericial-instrumento-la-justicia/
Gestión de
Incidentes
Un incidente de seguridad informática es la violación
o amenaza inminente a la violación de una política
de seguridad de la información implícita o explícita.
Algunos ejemplos de incidentes de seguridad
• Acceso no autorizado
• Robo de contraseñas
• Robo de información
• Denegación de servicio
En la gestión de incidentes podemos encontrar las
siguientes fases del ciclo de vida para la gestión de
incidentes.
file:///D:/Usuario%20NO%20BORRAR/Downloads/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
Fase Preparación
➢ Organización.
➢ Marco.
➢ Grupo de trabajo.
➢ Tiempo.
➢ Notificación .
➢ Contacto.
➢ Indicadores. file:///D:/Usuario%20NO%20BORRAR/Downloads/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
➢ Comunicación.
➢ Arquitectura de seguridad.
➢ Herramientas.
Fase Detección y Análisis
❖ Objetivo de la fase. ❖ Matriz de diagnostico.

❖ Fuente de información. ❖ Priorización de incidentes.
❖ Correlación de eventos. ❖ Declarar el incidente.
❖ Relojes sincronizados. ❖ Tipo de incidente.
❖ Política de retención de Logs. ❖ Notificación de incidentes.
❖ Comportamiento normal de las ❖ Notificación vertical y horizontal.
redes, sistemas y aplicaciones. ❖ Documentación.
❖ Base de conocimiento. ❖ Proteger los datos de incidente.
Fase Contención
➢ Elegir una estrategia de contención.

➢ Contención a corto plazo.
➢ Integración con análisis forense.
➢ Contención a largo plazo.
➢ Erradicación.
➢ Recuperación.
Fase Post-Incidente
➢ Documentar y mejora continua.

➢ Actualizar.
➢ Métricas.
https://www.mintic.gov.co/gestionti/615/articles-5482_G13_Evidencia_Digital.pdf
Delito Informático
Un delito informático o ciberdelincuencia es toda aquella acción, típica, antijurídica y

culpable, que se da por vías informáticas o que tiene como objetivo destruir y dañar
ordenadores, medios electrónicos y redes de Internet.
Delito Informático
Fraude informático: es inducir a otro a
hacer o a restringirse en hacer alguna cosa
de lo cual el criminal obtendrá un beneficio,
casi siempre económico, utilizando medios
informáticos.
Contenido obsceno u ofensivo: Cuando
Hostigamiento / acoso: Delito que se se envían mensajes a través de internet con
concreta cuando se contacta a una persona contenido que atenta contra la integridad de
para que realice o entregue algo bajo una una o más personas u organizaciones (por
situación de amenaza. medio de redes sociales, emails, etc.).
https://bbc.in/2xsdfnG
https://bit.ly/2UIiirM
Delito Informático
Pornografía Infantil: Delito que se comete
cuando se envían archivos de imágenes o https://bit.ly/2wGre9k
video por la web con contenido sexual
explícito con menores de edad.
Propiedad Intelectual: Delito que se Terrorismo Virtual: Se da cuando se ataca

comete en el momento que se accede a una organización o estado para hacer daño
información privada o confidencial sin la a su sistema de información (ataques 0-
autorización expresa de su autor, ya sea days, denegación de servicio, acceso no
para su difusión gratuita o comercialización. autorizado, etc.).
https://bit.ly/3bzf28X
Herramientas
Herramientas de encriptación: Mediante
este tipo de software se cifran archivos o
documentos utilizando un algoritmo
específico.
Herramientas de virtualización: Son Editores Hexadecimales: Un editor

programas que permiten transportar una hexadecimal, también llamado editor de
infraestructura física de un equipo archivos binarios, es un tipo de software
informático (incluyendo su software) a una que permite leer y modificar el contenido de
plataforma de software que simula la archivos binarios.
totalidad de los componentes de su
arquitectura.
https://bit.ly/2xrkz2M https://bit.ly/2UmnsuH
Herramientas
Emuladores: Tipo de software que permite
ejecutar software (programas o Herramientas de borrado de archivos:
videojuegos) en una plataforma diferente Son programas que permiten borrar
para el que fue desarrollado, tanto a nivel archivos en un dispositivo de
de hardware como de sistema operativo. almacenamiento de manera segura, de tal
forma que no se pueda recuperar el archivo
borrado mediante un programa
especializado en recuperación de archivos.
Este tipo de software se suele utilizar en la
medida que necesitamos eliminar
documentación confidencial de un
dispositivo de almacenamiento, al cual https://bit.ly/2WP3r1A
puede tener acceso personal sin la
autorización pertinente para su lectura.
Herramientas
Herramientas de recuperación de
Contraseñas: Herramientas que permiten https://bit.ly/3bytjD9
recuperar contraseñas usadas en el sistema
operativo investigado.
Herramientas de investigación y Herramientas de recuperación de datos o

análisis: Son aplicativos orientados a la archivos: Son programas que permiten
investigación y análisis forense. Entre recuperar archivos borrados previamente.
otras funcionalidades ofrecen Utilizan varios formas de recuperación como
recolección de evidencia digital, recuperación en bruto (cuando ha sido
realización de análisis de la evidencia formateado el dispositivo de
digital recolectada e informe detallado almacenamiento), recuperación rápida
del mismo. (cuando ha sido borrado el archivo
recientemente)
https://bit.ly/2xoRtRD
Herramientas
Herramientas de análisis de discos
(Montaje y Recuperación): Software que
permite montar imágenes de discos, https://bit.ly/2QQjQin
producto de copias a la evidencia original,
para su análisis especializado y determinar
si la imagen está afectada en su integridad.
Clonación: Software especializado en

copiar bit a bit la información contenida en
una unidad de almacenamiento lógico
(disco duro, pendrive, etc.) y volcar esta
información en otro dispositivo de igual o
mayor capacidad; también permite volcar
esta información en un archivo digital que
se puede tratar mediante software
especializado como si fuese la unidad de
almacenamiento lógica original.
https://bit.ly/3dArLu8
Análisis de
Malware
¿QUE ES MALWARE?
(Malicious Software o también llamado

badware o software malicioso) es un
software que tiene como objetivo infiltrarse
en el sistema y dañar la computadora sin el
consentimiento de su dueño, con distintas
finalidades.
Análisis de
Malware
• Cuál es el objetivo del análisis de malware?

• Cuantos tipos de análisis de malware existen?
• Qué es un malware y cómo se puede prevenir?
• Clasificaciones de malware?
• Cómo detectar un malware?
• Cómo evitar ser víctima de un malware?
• Qué hacer si el malware ya atacó?
Aseguramiento de
Aplicaciones y bases de
datos
Para que nuestras basas de datos y
aplicaciones estén correctamente aseguradas
debemos tener el personal idóneo para la
correcta administración y control de acceso
impidiendo que los usuarios accedan a
información sensible, esta administración se
debe llevar a cabo cuando se solicitan acceso,
se quitan accesos, personal se retira de la
compañía.
VALIDEZ DE UNA PRUEBA
DIGITAL
• Aceptable
• Autentica
• Completa
• Confiable
• Creíble
VALIDEZ DE LA PRUEBA
AUTENTICIDAD
LEGALIDAD
• Fijación
• Constitución Nacional
• Recolección
• Leyes y normas
• Embalaje
• Juez de control de garantías
• Cadena de custodia
POR QUE SE USA
La compensación de los daños
1 causados por los criminales o intrusos
La persecución y procesamiento
2 judicial de los crímenes
La creación y aplicación de medidas

3 para prevenir casos similares
AREAS DE APLICACIÓN
• Identidad interna
• Competencia desleal
• Fuga de Información
• Violación de propiedad intelectual
• Acceso abusivo a un sistema informático
• Pornografía infantil
Cadena de custodia
La cadena de custodia es uno de los

protocolos a seguir cuando los peritos
informáticos forenses trabajan con una
prueba. Durante el período de vida y
validez de esta, cuando se consigue
localizar o realizar.
Recuperación de
datos
Los procedimientos de recuperación de datos pueden ser utilizados para recuperar
información de diversos tipos de medios como discos duros, memorias USB, servidores,
cámaras digitales, CD, DVD, entre otros.
La recuperación de datos es necesaria por distintos motivos, como por ejemplo daños
físicos en el medio de almacenamiento (averías electrónicas, averías mecánicas, golpes,
incendios, inundaciones, etc.) o averías lógicas (daños en el sistema de archivos, daño en
las particiones, archivos eliminados, formateos accidentales, etc..).
Escenarios de la recuperación de
datos
El escenario más común de "recuperación de datos" involucra una falla en el sistema
operativo (en el disco completo, una partición, un sector), en este caso el objetivo es
simplemente copiar todos los archivos requeridos en otro disco.
Esto se puede conseguir fácilmente con un Live CD, la mayoría de los cuales proveen un
medio para acceder al sistema de archivos, obtener una copia de respaldo de los discos o
dispositivos removibles, y luego mover los archivos desde el disco hacia el respaldo con
un administrador de archivos o un programa para creación de discos ópticos.
datos
El segundo escenario involucra una falla a nivel de disco, tal como un sistema de
archivos o partición de disco que esté comprometido, o una falla en el disco duro. En
cualquiera de estos casos, los datos no pueden ser fácilmente leídos.
Dependiendo de la situación, las soluciones pueden estar entre reparar el sistema de

archivos, la tabla de particiones o el registro maestro de cargado (MBR), o técnicas de
recuperación del disco duro que van desde la recuperación basada en software de los
datos corruptos a el reemplazo del hardware de un disco dañado físicamente.
datos
En un tercer escenario, los archivos han sido "borrados" de un medio de
almacenamiento. Típicamente los archivos borrados no son realmente eliminados de
inmediato; en vez de ello, las referencias a ellos en la estructura de directorios ha sido
removida, y el espacio que estos ocupan se hace disponible para su posterior sobre-
escritura.
En el transcurso de esto, el archivo original puede ser recuperado. Aunque hay cierta
confusión acerca del término, la "recuperación de datos" puede también ser usada en el
contexto de aplicaciones de informática forense o de espionaje.
BIBLIOGRA
FIA
https://duriva.university/valor-curricular-diplomados/computo-forense-delitos-informaticos/
https://securitcrs.wordpress.com/analisis-forense/
https://infusc2012.wordpress.com/2012/04/12/informatica-forense/
https://techinme.com/computer-forensics-tech-beginners-guide/
http://symposium.uoc.edu/11570/detail/el-papel-de-las-telecomunicaciones-en-las-infraestructuras-tecnologicas-del-futuro..html
http://marcelo-anunciostecnologicos.blogspot.com/2011/05/infraestructuras-tecnologicas.html
http://www.ficaconsulting.com.do/cw/publicaciones/11-auditoria/698-como-identificar-riesgos-catalogo-de-riesgos
http://archivistica.blogspot.com/2012/08/macroestructura-en-la-generalitat.html
https://www.exa.unrc.edu.ar/eventos/curso-de-posgrado-sobre-estadistica-multivariada/
https://www.loggro.com/blog-contabilidad/los-plazos-de-los-grandes-contribuyentes-para-presentar-la-informacion-exogena-de-2017/
http://informaticaforenseunadcd.blogspot.com/p/frases-informatica-forense.html
https://www.expertosdecomputadoras.com/como-utilizar-copia-de-seguridad-y-restaurar-windows-7/
https://www.youtube.com/watch?v=CBmjEQoHiuI
https://obsbusiness.school/es/blog-investigacion/finanzas/preparar-las-cuentas-paso-esencial-antes-del-analisis-financiero
https://seguridad.cicese.mx/alerta/256/Gu%C3%ADa-para-protegerse-de-las-nuevas-amenazas-cibern%C3%A9ticas-en-l%C3%ADnea
https://noticias.universia.edu.pe/en-portada/noticia/2014/05/07/1096041/6-consejos-tomar-mejores-apuntes-universidad.html
https://blog.embluemail.com/fechas-especiales-email-marketing/
INTRODUCCIÓN A LA INFORMÁTICA Y
AUDITORÍA FORENSE
INTEGRANTES:
Luis Riaño
John Lesmes
Yesid Hurtado
Jaime Nieto
Ingrid Castillo
Cipa Maorí
Contenido
1. Qué es exactamente la informática forense, Finalidad 11. Reglas para la realización de un buen informe
de un análisis forense 12. Herramientas y técnicas de análisis forense
2. Principales razones que desencadenan un análisis 13. Análisis práctico de los fundamentos y las
forense posibles dificultades de un análisis informático
3. Vertientes de un análisis forense forense
3.1. Dispositivos de almacenamiento 14. Estructura física de un disco duro
3.2. Identificación de objetivos 15. Estructura lógica de un disco duro
3.3. Preservación de evidencias 16. FAT, NTFS, EXT2, EXT3, EXT4, HFS+
4. Procedimiento de clonado 17. Borrado de datos, Qué es realmente el
5. Revisión del checksum Herramienta borrado, Borrado Seguro
6. Recuperación y análisis 18. Posibles dificultades en un análisis forense
7. Recuperación de datos borrados y perdidos 19. Sectores defectuosos
8. Aplicación de técnicas de análisis sobre los datos 20. Condiciones de trabajo adversas
adquiridos 21. Discos duros dañados
9. Presentación de resultados y objetivos del proceso de 22. Sistemas RAID
análisis forense 23. Encriptación
10. Importancia de la documentación durante el proceso 24. Antiforénsica
1. Qué Es Exactamente La Informática Forense
La informática forense puede definirse

como el proceso de recolección,
preservación, análisis de datos e
información que hayan sido procesados
electrónicamente y almacenados en
soportes informáticos, es además la
aplicación de técnicas científicas y
analíticas especializadas a infraestructura
tecnológica y son pruebas legalmente
admisibles y válidos dentro de un proceso
legal o de una investigación ante un tribunal
Figura 1. La informática forense
Recuperado de: https://protegermipc.net/2018/08/29/que-es-la-informatica- o un tercero que las solicite.
forense/
Finalidad De Un Análisis Forense
Una de las finalidades del Análisis Forense es la prevención, lo que permite a empresas y
profesionales auditar los mecanismos de protección que fueron instalados en los equipos
informáticos y también sobre las condiciones y estrategias de seguridad con las que cuenta la
empresa.
✓ Cumplimiento de la normatividad legal.

✓ Generación de cultura preventiva.
✓ Ambiente de control.
✓ Detectar las posibles vulnerabilidades de seguridad.
4 Claves Sobre Análisis Digital Forense
2. Principales Razones Que Desencadenan
Un Análisis Forense
1 Pedofilia
Evasión de
impuestos 2
3
Delitos
Financieros
3. Vertientes de un análisis forense
En un análisis forense lo estudios que se
realizan pueden llegar a ser similares a una
autopsia, pero en este caso no de un cuerpo
humano; las indagaciones se realizan a través
de tres grandes vertientes que son
computadores y dispositivos, redes y
evidencias digitales; gracias al análisis de la
primera vertiente se puede llegar a las
siguientes, que se definen básicamente como
una serie de datos que se encuentran dentro
de los sistemas electrónicos, mediante los
Figura 2. La vanguardia de la ciencia forense
cuales se pueden llegar a establecer pistas o Recuperado de: https://argadetectives.com/blog/el-papel-del-perito-informatico-
forense-que-es-la-informatica-forense-historia-y-evolucion.html
evidencias.
3.1. Dispositivos de almacenamiento
Un dispositivo de almacenamiento es cualquier hardware capaz de almacenar información de
forma temporal o permanente. Estos dispositivos realizan las operaciones de lectura y/o escritura
de los medios o soportes donde se almacenan, lógica y físicamente, los archivos de un sistema
informático.
Dispositivos de almacenamiento Dispositivos de memoria flash Dispositivos de almacenamiento

magnético ➢ Unidad flash USB, unidad óptico
➢ Disquete de disco o unidad de disco ➢ Disco de Blu-ray
➢ Disco duro USB ➢ CD-ROM
➢ Banda magnética ➢ Tarjetas de memoria ➢ CD-R y CD-RW
➢ Cintas de Cassette (Memory Stick) ➢ Disco DVD-R, DVD + R, DVD-
➢ Disco duro de estado RW y DVD + RW
solido (SSD)
3.1. Dispositivos de almacenamiento
El Análisis forense de dispositivos de
almacenamiento en la búsqueda de evidencias
tiene el siguiente proceso:
✓ Identificación.
✓ Preservación.
✓ Recuperación y Análisis.
✓ Presentación de resultados objetivos.
✓ Destrucción segura del bien clonado
(información).
Figura 3. dispositivo de almacenamiento
Recuperado de: https://comofriki.com/que-es-un-
dispositivo-de-almacenamiento/
3.2. Identificación De Objetivos
LOS OBJETIVOS DEL ANÁLISIS FORENSE:
✓ Recolectar evidencia digital presente en toda clase

de infracciones en los delitos informáticos.
✓ Compensar los daños causados por los criminales
o intrusos .
✓ Perseguir y procesar judicialmente a los criminales
informáticos.
✓ Aplicar medidas como un enfoque preventivo.
✓ Identificación de los casos de fraude.
✓ Prevenir y minimizar los asuntos de fraude.
✓ Creación y desarrollo de programas que prevengan
las estafas y fraudes.
Figura 4. Análisis forense
Recuperado de: https://www.tecnek.com/servicios-de-
ciberseguridad/implantacion-de-sgsi/analisis-forense-informatico.html
3.3. Preservación de evidencias
La norma ISO 27037, la define como el proceso de mantener y salvaguardar la integridad y/o
condición original de la evidencia digital potencial.
El aspecto más importante a la hora de recolectar evidencia, es la preservación de la integridad

de ésta; llevando a cabo a su vez una estricta cadena de custodia de la información.
La preservación de la evidencia digital es tal vez uno de los procesos más críticos dentro de la
investigación forense, la evidencia digital potencial, es muy frágil y puede ser destruida o
alterada con mucha facilidad.
La evidencia debe ser recolectada siguiendo los más altos estándares relacionados con la
investigación forense, debe efectuarse por personal experto y autorizado.
4.Procedimiento de clonado
• Al clonar la información se debe garantizar que el original y la copia son

iguales. Se garantiza usando una metodología de trabajo adecuada y
realizando el proceso en presencia del Letrado de la administración de
justicia.
• Para realizar una pericial informática forense se ha de realizar el
clonado del material informático incautado. También se ha de realizar
el cálculo de la clave “hash” o resumen.
• El clonado del material informático intervenido
se realiza en el lugar en el que se encuentra el
dispositivo o en una diligencia posterior.
• El cálculo de la clave “hash” o resumen sirve
para determinar si el material informático
incautado ha sido manipulado después.
• Al clonar la información se debe garantizar que
el original y la copia son iguales. Se garantiza
usando una metodología de trabajo adecuada y
realizando el proceso en presencia del Letrado
de la administración de justicia.
5.Revisión del checksum herramienta
• Checksum Compare es un programa que calcula y verifica los hash SHA1 y MD5.
• Elige tus directorios.
• Elija un algoritmo de hash.
• Haga clic en comparar.
• Ya terminaste!
6.Recuperación de datos borrados y perdidos
• Hay varias buenas aplicaciones de recuperación de archivos
disponibles de manera gratuita. Algunas de ellas son bien conocidas
en el mercado, otras no. Este artículo resume las cinco mejores.
Para cada una de estas aplicaciones, menciona sus ventajas y los
usos. Al final, proporciona los enlaces a las páginas web donde se
puede descargar el software gratuito de recuperación de datos.
7.Aplicación de técnicas de análisis sobre
datos adquiridos
• El análisis forense digital se corresponde con un conjunto de
técnicas destinadas a extraer información valiosa de discos, sin
alterar el estado de los mismos. Esto permite buscar datos que son
conocidos previamente, tratando de encontrar un patrón o
comportamiento determinado, o descubrir información que se
encontraba oculta.
• El conocimiento de un experto analista forense se basa en conocer
las diversas técnicas para la recopilación de pruebas y tener un
conocimiento actualizado de las legislaciones vigentes en esta
materia para proteger los derechos de los ciudadanos.
• A continuación mostramos una serie de puntos que se suelen seguir
para realizar un Análisis Forense Informático.
• 1. Mapeo del entorno de datos

• 2. Análisis de debilidades y vulnerabilidades
• 3. Auditoría de las páginas web
• 4. Peritaje en informática forense
• 5. Análisis forense de dispositivos móviles
• 6. Recuperación de la información
• 7. Protección de la marca
• 8. Falsificación
• 9. Infracción de marca
8.Presentación de resultados y objetivos del proceso
• La informática forense tiene tres objetivos:
• La compensación de los daños causados por los intrusos o
criminales.
• La persecución y procesamiento judicial de los criminales.
• La creación y aplicación de medidas para prevenir casos similares.
• Estos objetivos se alcanzan de varias formas, siendo la principal la
recopilación de evidencias.
• Es importante mencionar que quienes se dedican a esto deben ser
profesionales con altos niveles de ética, pues gracias a su trabajo se
toman decisiones sobre los hechos y casos analizados.
Para poder realizar con éxito su trabajo, el investigador nunca debe
olvidar:
• Ser imparcial. Solamente analizar y reportar lo encontrado.
• Realizar una investigación formal sin conocimiento y experiencia.
• Mantener la cadena de custodia (proceso que verifica la integridad

y manejo adecuado de la evidencia).
• Documentar toda actividad realizada.
13 Importancia de la documentación durante el
proceso
La importancia de una documentación completa y precisa no puede ser exagerada. Existen diferentes tipos de
documentación y reportes utilizados a través de todo el proceso forense. Estos deben ser explicados en los SOPs y
manuales de políticas de los laboratorios o agencias. Formularios de envío, registros de cadena de custodia, notas del
analista y el reporte final del analista, forman el punto crucial de la información requerida.
13 Importancia de la documentación durante el
proceso
Formularios
Los formularios previamente impresos se utilizan ampliamente ya sea en el campo como en el laboratorio. Estos
ayudan a guiar al personal a través del proceso, y aseguran se mantiene un alto nivel de calidad. Los formularios
aseguran toda la información necesaria es capturada de manera uniforme. Típicamente, los formularios son utilizados
para describir la evidencia con detalle (marca, modelo, número de serie, etc.), documentar la cadena de custodia,
solicitar un análisis, etc.
Notas del Analista
Las notas del analista abarcan la mayoría, sino todas, las acciones y observaciones del analista junto con sus
correspondientes fechas. Estos deben ser lo suficientemente detallados para permitir a otro analista duplique el
proceso utilizado durante el análisis. Entre las cosas típicamente registradas se incluyen:
Discusiones con los actores clave, incluyendo fiscales e investigadores.
13 Importancia de la documentación durante el proceso
➢ Discusiones con los actores clave, incluyendo fiscales e investigadores.
➢ Irregularidades detectadas y acciones asociadas.
➢ Sistemas operativos, versiones y estado de parche.
➢ Contraseñas.
➢ Cualquier cambio realizado en el sistema por parte del personal del laboratorio y de la fuerza legal.
El reporte final del analista
El informe final del analista es el documento formal entregado a los fiscales, investigadores, abogado opositor, y así sucesivamente
hasta o cerca al final de una investigación. Estos reportes están típicamente constituidos de:
➢ Identidad de la agencia generadora del reporte.

➢ Número para la identificación del caso y número de envío.
➢ Identidad de la persona quien presenta el caso y del investigador del caso.
➢ Fechas de recepción del reporte.
➢ Descripción detallada de los ítemes de evidencia presentados, incluyendo número de serie, marcas, modelos, etc.
➢ Identidad del analista.
➢ Descripción de las medidas adoptadas durante el proceso de análisis.
➢ Resultados y conclusiones.
14 Reglas para la realización de un buen informe
1. Preservación o resguardo: Obtención de la información a analizar.

2. Adquisición: Clonado de la información y cálculo de la clave “hash” o resumen.
3. Análisis y documentación: Emisión del dictamen pericial informático.
4. Presentación del dictamen pericial y ratificación.
5. Valoración del dictamen por el Tribunal.
15. Herramientas y Técnicas de Análisis
Forense
Las características de las herramientas forenses profesionales varían mucho dependiendo de la rama del
análisis forense y el mercado al que están orientados. Generalmente, las grandes suites de software
forense tienen que ser capaces de hacer lo siguiente:
➢ Admite hashing de todos los archivos, lo que permite el filtrado comparativo

➢ Hash de disco completo para poder confirmar que los datos no han cambiado (normalmente se utiliza
una herramienta para adquirir y otra para confirmar el hash de disco)
➢ Localizadores de rutas exactas
➢ Borrar los sellos de fecha y hora
➢ Tiene que incluir una característica de adquisición
➢ Búsqueda y filtrado de artículos
➢ La capacidad de cargar copias de seguridad de iOS y analizar sus datos
Forense
Forense
Análisis de ruido de foto respuesta no
uniforme (PRNU). Análisis por matriz de
Metadatos
cuantización o cuantificación.
16 Estructura física de un disco duro
Disco Duro rígido
Impulsor de Cabezal:
Es un motor que mueve los cabezales sobre el disco hasta llegar a la pista
adecuada, donde esperan que los sectores correspondientes giren bajo ellos
para ejecutar de manera efectiva la lectura/escritura.
Pistas:
La superficie de un disco esta dividida en unos elementos llamadas pistas

concéntricas, donde se almacena la información. Las pistas están numeradas
desde la parte exterior comenzando por el 0. Las cabezas se mueven entre la
pista 0 a la pista más interna.
Disco Duro rígido
Sector:
Las pistas están divididas en sectores, el número de sectores es variable. Un

sector es la unidad básica de almacenamiento de datos sobre los discos duros.
Los discos duros almacenan los datos en pedazos gruesos llamados sectores, la
mayoría de los discos duros usan sectores de 512 bytes cada uno. Comúnmente
es la controladora del disco duro quien determina el tamaño de un sector en el
momento en que el disco es formateado, en cambio en algunos modelos de
disco duro se permite especificar el tamaño de un sector.
Disco Duro rígido
Cluster:
Es un grupo de sectores, cuyo tamaño depende de la capacidad del disco. A continuación se

muestra una tabla que representa esta relación:
Disco Duro rígido
Ahora vamos a ver la organización electrónica de cualquier disco duro según el número
físico real de platos, cabezas, pistas y sectores:
Se sabe que el disco duro tiene una cabeza de lectura/escritura para cada cara de un
plato, entonces si se sabe el numero de cabezas que hay en un disco duro
automáticamente se sabe el numero de platos que contiene y viceversa. Ejemplo: Si se
tiene 5 platos entonces se tiene 10 cabezas de lectura/escritura.
El número de pistas varia según el tipo de disco duro, para los discos duros antiguos el
numero de pista era de 305 en cambio los discos duros más nuevos pueden tener 16000
pistas o más.
El número de pistas por superficie es igual al número de cilindros. Al multiplicar el número
de cabezas con el número de cilindros se sabe el número de pistas del disco.
El número de sectores varía según el tipo de disco duro, para los discos duros antiguos el
número de sectores era de 8 en cambio para los discos duros más modernos es de 60
sectores o más.
16 Estructura Fisica de un disco duro
Disco Duro de estado solido
Los HDD de estado solido o tarjetas SSD por sus siglas en ingles (solid-state drive) son el
presente del almacenamiento y una oportunidad de negocio.
1. Memoria Flash.
Es quién soporta la información, y una pieza muy valiosa, que representa sobre el 70% del
coste de la unidad.
Existen 5 tipos básicos de memorias flash:
• SLC(Single LayerCell): escribe un bit por celda

• MLC(MultiLayerCell): escribe dos bits por celda
• eMLC(EnhancedMultiLayerCell): es una MLC mejorada, y escribe dos bits por celda
• TLC(Triple LayerCell): escribe 3 bits por celda
• 3DBICS: la nueva generación de Toshiba que usa el silicio en 3 planos
El uso de una u otra influirá mucho tanto en el precio como en la durabilidad y

rendimiento del HDD.
2. Controladora y Firmware.
La controladora es quien hace la diferencia. Se trata de un pequeño procesador

que conjuntamente con el firmware decide cómo, cuándo y dónde la
información es escrita y leída. Coordina interfaz, caché y memoria flash.
La controladora Barefoot 3 de OCZ no necesita comprimir los archivos, evitando

escribir, borrar y volver a escribir. De esta forma consigue un mayor rendimiento
y alargar la vida del SSD.
3. Interface (Sata3, SAS, PCIe; NVMe).
La interface es el software que comunica el HDD y la placa base. Los tipos de

firmware más usados son SATAIII, SAS, PCI Express y NVMe. Algunos de estos
tienen importantes limitaciones, por ejemplo, SATA solo permite hasta 600 GB/Seg
de ancho de banda, en cambio, el NVMe PCIex obtiene los mejores rendimientos.
4. Caché (Memoria RAM)
Se trata de memoria RAM que se usa como archivo temporal antes de la escritura
definitiva en la memoria flash. Es una memoria volátil, en caso de pérdida súbita de
energía, la información que contiene puede perderse. Algunos modelos ofrecen
opciones de seguridad que impiden que se pierda, muy interesantes sobre todo si
tus clientes utilizan BBDD y aplicaciones, ya que en caso contrario una pérdida de la
caché las volvería inútiles.
18 Estructura lógica de un disco duro
La estructura lógica de un disco duro esta formado por:
Sector de arranque.
Espacio particionado.
Espacio sin particionar.
Sector de arranque: Es el primer sector de un disco duro en él se almacena la tabla de particiones y un

programa pequeño llamado Master Boot. Este programa se encarga de leer la tabla de particiones y ceder el
control al sector de arranque de la partición activa, en caso de que no existiese partición activa mostraría un
mensaje de error.
Espacio particionado: Es el espacio del disco que ha sido asignado a alguna partición.
Espacio sin particionar: Es el espacio del disco que no ha sido asignado a ninguna partición. A su vez la
estructura lógica de los discos duros internamente se pueden dividir en varios volúmenes homogéneos dentro
de cada volumen se encuentran una estructura que bajo el sistema operativo MS-DOS es el siguiente:
Cada zona del volumen acoge estructuras de datos del sistema de archivos y también los diferentes
archivos y subdirectorios. No es posible decir el tamaño de las diferentes estructuras ya que se adaptan al
tamaño del volumen correspondiente.
1.-Sector de arranque (BOOT): En el sector de arranque se encuentra la información acerca de la estructura de volumen y
sobre todo del BOOTSTRAP-LOADER, mediante el cual se puede arrancar el PC desde el DOS. Al formatear un volumen el
BOOT se crea siempre como primer sector del volumen para que sea fácil su localización por el DOS.
2.-Tabla de asignación de ficheros (FAT): La FAT se encarga de informar al DOS que sectores del volumen quedan libres, esto
es por si el DOS quiere crear nuevos archivos o ampliar archivos que ya existen. Cada entrada a la tabla se corresponde con
un número determinado de sectores que son adyacentes lógicamente en el volumen.
3.-Uno o más copias de la FAT: El DOS permite a los programas que hacen el formateo crear una o varias copias idénticas de
la FAT, esto va a ofrecer la ventaja de que se pueda sustituir la FAT primaria en caso de que una de sus copias este
defectuosa y así poder evitar la perdida de datos.
4.-Directorio Raíz: El directorio raíz representa una estructura de datos estática, es decir, no crece aún si se guardan más
archivos o subdirectorios. El tamaño del directorio raíz esta en relación al volumen, es por eso que la cantidad máxima de
entradas se limita por el tamaño del directorio raíz que se fija en el sector de arranque.
5.-Zona de datos para archivos y subdirectorios: Es la parte del disco duro donde se almacenan los datos de un archivo. Esta
zona depende casi en su totalidad de las interrelaciones entre las estructuras de datos que forman el sistema de archivos del
DOS y del camino que se lleva desde la FAT hacia los diferentes sectores de un archivo.
19 FAT, NTFS, EXT2, EXT3, EXT4, HFS+
FAT12, FAT16 and FAT32 (FILE ALLOCATION TABLE)
Los sistemas de archivos dividen el espacio de almacenamiento en una unidad en compartimentos

virtuales conocidos como clusters, mantienen un índex de dónde se encuentran los archivos individuales
y del espacio libre disponible. El primer sistema de archivos de Windows se conocía como la Tabla de
asignación de archivos o FAT, con tres variantes principales desarrolladas conocidas como FAT12, FAT16 y
FAT32. Cada variante FAT puede dividir una unidad en un número cada vez mayor de clústeres y admite
un tamaño de archivo y un tamaño de volumen cada vez mayores. Por ejemplo, FAT12 admite un tamaño
máximo de archivo y volumen de 32 Megabytes, mientras que FAT32 puede almacenar archivos
individuales de hasta 4 Gigabytes de tamaño y está limitado a volúmenes de 32 Gigabytes si está
formateado en Windows, hasta 2 Terabytes cuando está formateado con otros sistemas operativos, y
tiene un tamaño de volumen máximo absoluto de 16 Terabytes. FAT32 sigue siendo un sistema de
archivos popular debido a su alto nivel de compatibilidad entre sistemas operativos y todavía se usa
ampliamente para formatear unidades flash USB, tarjetas de memoria y algunos otros dispositivos de
almacenamiento externo.
NTFS (New Technology Files System)
Hoy el sistema de archivos de Windows más popular es el Sistema de archivos de nueva tecnología o
NTFS. Fue introducido en 1993 para superar las limitaciones de FAT32 y tiene un límite de tamaño de
archivo de 16 exabytes (un exabyte es de 1 millón de terabytes, por lo que, en la práctica, sin restricción de
tamaño de archivo). NTFS también es un sistema de archivos de registro en diario, lo que significa que
mantiene un registro de cambios, por lo que puede recuperarse después de un bloqueo del sistema o una
falla de energía. NTFS también admite permisos de archivos, cifrado de archivos y otras características que
hacen que NTFS sea más adecuado que un FAT32. Por estos motivos, todas las versiones modernas de
Windows deben instalarse en una unidad con formato NTFS. El único inconveniente real de NTFS es la falta
de compatibilidad con versiones anteriores de Windows y sistemas operativos que no son Windows. Por
ejemplo, los volúmenes NTFS predeterminados son de solo lectura en Mac OS y en distribuciones de Linux
más antiguas, y es posible que no se puedan leer en otros dispositivos, como reproductores multimedia
independientes.
exFAT (extended File Allocation Table)
Microsoft introdujo exFAT o la tabla extendida de asignación de archivos en 2006 como un sistema de archivos
optimizado para unidades flash USB y tarjetas de memoria de alta capacidad. exFAT es menos sofisticado que
NTFS pero tiene beneficios significativos sobre FAT32. El tamaño máximo de archivo es de 16 exabytes o
efectivamente ilimitado, lo que hace que exFAT sea la mejor opción para formatear tarjetas de memoria. Por esta
razón, exFAT ha sido adoptado por la Asociación de tarjetas SD como el sistema de archivos predeterminado
para las tarjetas de memoria SDXC. En términos de compatibilidad, exFAT disfruta de un soporte más amplio que
no es Windows que NTFS. Tiene soporte de lectura y escritura en Mac OS y versiones recientes de Android.
Muchos sistemas Linux requieren la instalación de controladores adicionales para acceder a dispositivos exFAT.
ext2, ext3, ext4 (Extended File System or ext)
En 1992, el Sistema de archivos extendido o ext se lanzó específicamente para el sistema operativo Linux. En
1993, se lanzó una actualización llamada Extended File System 2 o ext2, que fue durante muchos años el sistema
de archivos predeterminado en muchas distribuciones de Linux.
HFS, HFS+, APFS (Hierarchical File System)
HFS o el Sistema de archivos jerárquico fue introducido por Apple en 1985 para su uso en Mac OS. Ofrece un tamaño
máximo de archivo de dos gigabytes y un tamaño de volumen máximo de dos terabytes. HFS también se conoce como
Mac OS Standard.
En 1998, HFS se actualizó a una nueva versión llamada HFS + o HFS Extended o también conocida como Mac OS
Extended. Esta edición agregó el registro en diario y tiene un tamaño máximo de archivo y un volumen de ocho
exabytes (cuando se usa Mac OS 10.4 o superior). En 2017, Apple introdujo un nuevo sistema de archivos llamado APFS
o Apple File System, que está optimizado para SSD y otros medios de estado sólido. HFS, HFS + y APFS no son
compatibles de forma nativa con Windows, Linux u otros sistemas operativos que no sean de Apple.
ZFS (Zed File System)
ZFS o el Sistema de archivos Zed fue lanzado inicialmente en 2006 por Sun Microsystems. Desde 2013 ha sido
desarrollado por el proyecto Open ZFS. ZFS difiere de otros sistemas de archivos porque integra un administrador de
volúmenes para controlar el hardware de almacenamiento conectado a una computadora.
20 Borrado de datos, Qué es realmente el borrado,
Borrado Seguro
Cualquier unidad de almacenamiento se escribe con bits. Aunque esos bits ya no indiquen que son un archivo o carpeta
visibles por tu sistema operativo, hasta que no sean reescritos esos bits seguirán siendo recuperables.
Esto es así en cualquier tecnología de almacenamiento, como discos duros o HDD o discos de estado sólido o SSD,
sean discos internos, externos, tarjetas de memoria para la cámara de fotos, stickers o memorias USB. Formatear un
disco con el método por defecto permite entender a cualquier dispositivo o sistema operativo que esa unidad de
almacenamiento está disponible para llenar con nuestros archivos y carpetas. Sin embargo, el contenido anterior sigue
ahí hasta que sea sobrescrito por otro archivo.
Y aquí es donde entra el concepto de borrado seguro.

Borrado Seguro
El borrado seguro. ¿En qué consiste?
El borrado seguro consiste, básicamente, en formatear un dispositivo de almacenamiento sobreescribiendo la

información con datos vacíos, de manera que la información anterior sea irreconocible.
El proceso dura más tiempo que un formateo estándar, pero el resultado es garantizarnos que la información previa no
se pueda recuperar.
Tal y como indica la ayuda oficial de Microsoft, el formato rápido de Windows crea una nueva tabla de archivos, de
manera que no tenemos acceso directo al contenido previo sin una herramienta específica. Pero los datos siguen ahí.
Existe el formateo estándar, más eficiente, pero tampoco garantiza que se sobreescriban todos los datos, por lo que
también son recuperables los datos anteriores.
En Windows, para realizar un borrado seguro necesitaremos herramientas de terceros, como vimos en un artículo
anterior de Blogthinkbig.com dedicado a borrar con seguridad los discos duros antes de prescindir de ellos.
Borrado seguro en Windows Borrado Seguro
A pesar de las muchas novedades y mejoras de Windows, su enésima versión sigue sin contar con un sistema de
gestión de discos que garantice el borrado seguro de su contenido.
Como en versiones anteriores, Windows 10 ofrece formato rápido y normal, pero ningún sistema adicional como el de
7 pasos o 35 pasos.
Herramientas para Borrado Seguro
Active@ KillDisk nos permite formatear y borrar los datos de discos externos o secundarios desde Windows. Para ello
ofrece soporte para distintos sistemas de archivos (incluyendo HFS+ y exFAT), y hasta 25 estándares de seguridad para
elegir el que más se adapte al tiempo que tenemos o la seguridad que buscamos.
HDShredder es una herramienta para formatear discos y borrar particiones de forma segura. Disponible en varias
versiones, una de ella gratuita, es compatible con discos internos y externos, unidades USB, etc.
Hardwipe sirve para formatear discos desde Windows o desde un pendrive USB externo. Es gratuito para uso personal
y cuenta con estándares de seguridad como GOST R 50739-95, DOD 5220.22-M, Schneier y Gutmann.
Borrado Seguro
Borrado seguro en MacOS
Si necesitas eliminar los datos de un pendrive o disco duro externo de forma segura, macOS cuenta con las opciones
necesarias gracias a su Utilidad de discos.
Desde Utilidad de discos podemos gestionar, formatear y particionar cualquier unidad de disco, interna o externa.
Respecto al borrado seguro, pulsando en la unidad a formatear, pulsamos en Borrar > Opciones de seguridad… y
tendremos cuatro métodos distintos de borrado, de más rápido a más seguro.
El primero corresponde al método de formateo rápido habitual, que simplemente reescribe la tabla de archivos. El
segundo reescribe la tabla y sobrescribe los datos dos veces. El tercer método realiza tres borrados sucesivos,
sobrescribiendo el disco dos veces con datos aleatorios.
Finalmente, el método más seguro que ofrece MacOS borra los datos y sobreescribe el disco 7 veces, tal y como
especifica la normativa del Ministerio de Defensa de Estados Unidos DoD 5220-22 M.
Existen sistemas más seguros, como el Método Gutmann, que reescribe hasta 35 veces los datos del disco. Sin
embargo, con el método anterior de reescribir 7 veces el disco ya podremos estar bastante seguros.
¿QUE SON LAS PARTICIONES?
• Cada disco duro constituye una unidad física distinta.
• Sin embargo, los sistemas operativos no trabajan con unidades físicas
directamente sino con unidades lógicas.
• Dentro de una misma unidad física de disco duro puede haber varias
unidades lógicas. Cada una de estas unidades lógicas constituye una
partición del disco duro.
• Esto quiere decir que podemos dividir un disco duro en, por ejemplo, dos
particiones (dos unidades lógicas dentro de una misma unidad física) y
trabajar de la misma manera que si tuviésemos dos discos duros (una unidad
lógica para cada unidad física).
UTILIDAD DE LAS PARTICIONES
• Un disco duro debe tener hechas las particiones y estar formateado para poder
almacenar datos en el mismo.
• A menudo, dos sistemas operativos no pueden coexistir en la misma partición. La
unidad se particiona para diferentes sistemas operativos.
• En algunos sistemas operativos aconsejan más de una partición para funcionar,
como por ejemplo, la partición de intercambio (swap) en los sistemas operativos
basados en Linux.
• Se puede guardar una copia de seguridad de los datos del usuario en otra partición
del mismo disco, para evitar la pérdida de información importante.
• Uno de los principales usos que se le suele dar a las particiones (principalmente a la
extendida) es la de almacenar toda la información del usuario (música, fotos, vídeos,
documentos), para que al momento de reinstalar algún sistema operativo se
formatee únicamente la unidad que lo contiene sin perder el resto de la información
del usuario.
TIPOS DE PARTICIÓN.
Partición Primaria:
• Un disco físico completamente formateado consiste, en realidad de una partición primaria que
ocupa todo el espacio del disco y posee un sistema de archivos.
• Son las divisiones primarias del disco, solo puede haber 4 de éstas o 3 primarias y una extendida.
• A este tipo de particiones, prácticamente cualquier sistema operativo puede detectarlas y asignarles
una unidad, siempre y cuando el sistema operativo reconozca su forma (sistema de archivos).
Partición extendida:
• También como partición secundaria.

• Es otro tipo de partición que actúa como una partición primaria.
• Sirve para contener unidades lógicas en su interior, fue ideada para romper la limitación de 4
particiones primarias en un solo disco físico.
• Solo puede existir una partición de este tipo por disco, y solo sirve para contener particiones lógicas.
Por lo tanto, es el único tipo de partición que no soporta un sistema de archivos directamente.
Partición Lógica o Unidad Lógica:
• Ocupa una parte de la partición extendida o la totalidad de la misma la cual se ha

formateado con un tipo específico de sistema de archivos, se le asigna una unidad, así el
sistema operativo reconoce las particiones lógicas o su sistema de archivos.
• El número de unidades lógicas que se pueden crear depende del Sistema Operativo usado.
• Todos los sistemas modernos (Linux, cualquier Windows basado en NT, etc.) son capaces
de arrancar desde una unidad lógica.
El caso más simple es aquél que

todo el espacio del disco se separa
para la primera partición. En este
caso no habría partición que
activar pues por defecto se activa
la única que existe.
SISTEMAS DE ARCHIVOS.
• A una partición primaria hay que darle una "forma lógica", es
decir hay que formatear y asignarle un sistema de archivos o
ficheros apropiado para el sistema operativo instalado.
• Cada Sistema Operativo posee un sistema de archivos concreto
que lo identifica.
• Si el disco posee varias particiones primarias, la partición primaria
activa y visible es la partición que se carga con el sistema
operativo al encender el ordenador.
• Todas las particiones primarias, a excepción de la que se utiliza
para iniciar el S. O., permanecen ocultas. De esta manera, nadie
puede tener acceso a sus datos. Por lo tanto, sólo puede tener
acceso a los datos de una partición primaria desde el sistema
operativo instalado en esa partición.
• Las particiones extendidas se desarrollaron para superar el límite
de cuatro particiones primarias, ya que en ellas se pueden crear
todas las unidades lógicas que se deseen.
NOMENCLATURA
El nombre de un archivo o directorio puede tener ocho caracteres de longitud,
después un separador de punto (.) y una extensión de hasta tres caracteres. El
nombre debe empezar con una letra o un número y puede contener cualquier
carácter.
CON, AUX, COM1, COM2, COM3, COM4, LPT1, LPT2, LPT3, PRN, NUL
POSIBLES DIFICULTADES EN UN ANALISIS FORENSE.
• La interacción entre los operadores judiciales los peritos informáticos.
• Recuperar ficheros borrados.
• La aprobación de una autorización judicial para el peritaje en vivo.
• Utilizar toolkits para ver los puertos abiertos, direcciones ip, visualizar logs del sistema.
• La perdida de información en la cadena de custodia. Es la documentación aplicada sobre
los elementos de prueba que permite asegurar y demostrar la identidad, la integridad, la
preservación y el registro de la continuidad de la prueba.
• No modificar las evidencias y realizar un backup de ellas teniendo en cuenta que no se
alteren los resultados.
• El funcionamiento de laboratorios forenses y la interacción con la justicia.
• La experticia del perito forense.
• Por donde iniciar el análisis forense.
SECTORES DEFECTUOSOS.
• Los sectores defectuosos duros son los que están físicamente dañados, o en un
estado magnético rígido. Este tipo de sectores defectuosos no se puede repara.
• Un sector defectuoso blando a veces se explica como un formato de disco duro

que se desgasta. Son errores lógicos, no físicos. Estos sectores son reparables
sobrescribiendo todo en el disco con ceros.
Condiciones de Trabajo Adversas
Cuando en una escena del crimen se tiene que trabajar con
condiciones adversas, como incendios, inundaciones, derrames de
gasolina o químicos peligrosos, es indispensable que el investigador
tome las medidas de seguridad necesarias para asegurar en primer
lugar su integridad física, luego deberá implementar el
procedimiento adecuado para incrementar las posibilidades de
recuperar las evidencias de la manera más completa posible.
● Equipos de emergencia
● Personal de Criminalística
● Acciones de la víctima
● Clima y naturaleza
● Descomposición
● Transferencia secundaria
Discos Duros
Dañados
Al tratar con discos duros que contengan
sectores dañados / imposibles de leer, es
importante saber exactamente dónde están
esos sectores dañados. Pueden estar
presentes únicamente en un espacio no
usado del disco (y, por tanto, con pocas
consecuencias) o pueden resultar críticos.
El propósito principal de dicho informe es tratar este

problema y mostrar el estado de integridad de
archivos específicos para demostrar que los archivos
analizados están en buen estado o parcialmente
corruptos.
Discos Duros
Dañados
Un ejemplo básico del informe del estado de los archivos:
Sistemas
RAID RAID es la sigla para “Redundant Array of
Independent Disks”. Su definición en español sería
“Matriz Redundante de Discos Independientes”. Se
trata de una tecnología que combina varios discos
rígidos (HD) para formar una única unidad lógica,
donde los mismos datos son almacenados en todos
los discos (redundancia).
RAID 0 (Data Striping, Striped Volume): distribuye

los datos equitativamente entre dos o más discos.
RAID 1 (espejo): Un RAID 1 crea una copia exacta (o

espejo) de un conjunto de datos en dos o más
discos. Esto resulta útil cuando queremos tener más
seguridad desaprovechando capacidad.
Encriptación
Desde un punto de vista informático consiste en
aplicar un algoritmo asociado a una o varias
contraseñas, que convierte la información en una
cadena de letras, números y símbolos sin sentido.
Entre los software de encriptación más
Encriptación populares tenemos los siguientes:
La encriptación de datos o cifrado - VeraCrypt: es un programa de

de archivos es un procedimiento cifrado con una versión gratuita
mediante el cual los archivos, o disponible tanto para Windows
cualquier tipo de documento, se
vuelven completamente ilegibles - Folder Lock: es una app capaz de
gracias a un algoritmo que ocultar un determinado directorio y
desordena sus componentes. Así, almacenar de forma segura todos
cualquier persona que no tus archivos ya sean discos duros,
disponga de las claves correctas CD, disquetes.
no podrá acceder a la información
que contiene. - AxCrypt: estamos ante una
aplicación que te permite una
encriptación de datos de 128 bits o
256 bits
Desde un punto de vista ético es
importante conocer técnicas anti
forenses, que serán útiles al
Antiforénsica
auditar un sistema comprometido
o incidente de seguridad. Son definidas como metodologías para
comprometer la disponibilidad de la
evidencia en un proceso forense.
De esta forma, se intenta manipular el

material de una pericia destruyendo,
ocultando, eliminando y/o falsificando
la evidencia.
Técnicas de
Antiforénsica
1.Técnicas de borrado o destrucción de la información
2.Técnicas de ocultación de la información
3.Técnicas de sobreescritura de metadatos
4.Técnicas de cifrado de la información
1. https://protegermipc.net/2018/08/29/que-es-la-informatica-forense/
2. https://blog.atlas.com.co/que-es-informatica-forense
3. https://www.isecauditors.com/sites/default/files/files/Informatica-forense-recuperacion-evidencia-
digitalIGC2004.pdf
4. https://securityhacklabs.net/articulo/que-es-el-analisis-forense-informatico
5. https://argadetectives.com/blog/el-papel-del-perito-informatico-forense-que-es-la-informatica-forense-
historia-y-evolucion.html
6. http://criminalistica.mp.gob.ve/glosario-informatica-forense/
7. https://comofriki.com/que-es-un-dispositivo-de-almacenamiento/
8. https://es.scribd.com/doc/24759421/Informatica-Forense
9. https://ninjasdelaweb.com/metodologia-de-analisis-
forense/http://informaticaforenseunadcd.blogspot.com/p/recoleccion-de-evidencia-digital.html
Tutoria III – Ing. Alirio Otálora
TRABAJO FORENSE
1. Trabajo Forense.
2. Tipos de Software o aplicativos para realizar informática Forense.
3. Técnicas de Hacking en Aplicaciones para dispositivo Moviles, Wifi, Facebook y Whatsapp.
4. S.O Kali Linux

METODOLOGIA FORENSE
La metodología general del

procedimiento de evidencia
digital, se centra en 4 pasos
principales y un reporte de
resultados del análisis.
VERIFICACIÓN Y CONFIRMACIÓN DEL INCIDENTE
Previo a la iniciación del procedimiento de

evidencia digital, es necesario verificar que el
evento que está siendo reportado, es realidad
un incidente que atenta contra la
confidencialidad, integridad o disponibilidad
de la información. Esta labor es realizada en el
proceso de evaluación y decisión de
incidentes. Una vez se confirma la
autenticidad, es necesario también
determinar si dicho incidente requiere o no
de un análisis forense (procedimiento de
evidencia digital).
FASE I. AISLAMIENTO DE LA ESCENA
Una vez el evento reportado se

cataloga como un incidente de
seguridad de la información, es
necesario restringir el acceso a la
zona donde se produjo el incidente
para evitar cualquier tipo de
alteración o contaminación a la
evidencia que pueda recolectarse
para la posterior investigación.
FASE II. IDENTIFICACIÓN DE FUENTES DE INFORMACIÓN, PASOS
INICIALES DE ADQUISICIÓN DE INFORMACIÓN
Identificar fuentes
potenciales de información
de donde se puedan extraer
datos para soportar el
proceso de evidencia digital.
FASE III. RECOLECCIÓN Y EXAMINACIÓN DE INFORMACIÓN
Una vez se han identificado las posibles fuentes de
información, se debe proceder a realizar la recolección y
examinación de los datos disponibles.
La secuencia para llevar a cabo la recolección y examinación
de medios/información es la siguiente:
1. CREACIÓN DEL ARCHIVO / BITÁCORA DE HALLAZGOS (CADENA

DE CUSTODIA).
2. IMAGEN DE DATOS
3. VERIFICACIÓN DE INTEGRIDAD DE LA IMAGEN
4. CREACIÓN DE UNA COPIA DE LA IMAGEN SUMINISTRADA
5. VERIFICACIÓN DE INTEGRIDAD DE LA IMAGEN
6. CREACIÓN DE UNA COPIA DE LA IMAGEN SUMINISTRADA
7. ASEGURAMIENTO DE LA IMAGEN ORIGINAL SUMINISTRADA
8. REVISIÓN ANTIVIRUS Y VERIFICACIÓN DE LA INTEGRIDAD DE LA
COPIA DE LA IMAGEN
EMBALAJE, TRANSPORTE Y ALMACENAMIENTO DE LA ED
Todos los objetos que puedan aportar pruebas deben ser

embalados y sellados tan pronto se toman. Además, no se
deben volver a abrir hasta llegar al laboratorio.
Es indispensable documentar el momento de la incautación
de los objetos de la escena ya sea del sospechoso o de la
victima, describiendo la ubicación exacta de los objetos
recuperados.
La evidencia digital debe transportarse con mucho cuidado
para evitar daños físicos, vibraciones, campos magnéticos,
temperaturas extremas o humedad.
Tipos De Software O Aplicativos
Para Realizar Informática Forense
Autopsy es un software forense digital que
permite la identificación y descubrimiento de
información relevante en fuentes de datos
como imágenes de discos duros, memorias
USB, capturas de tráfico de red, o volcados
de memoria de computadoras.
https://www.autopsy.com/
Use OSF para confirmar que los archivos no
han sido dañados o alterados al comparar
valores hash o identificar si un archivo
desconocido pertenece a un conjunto
conocido de archivos. Verifique y combine
archivos con hash MD5, SHA-1 y SHA-
256.Encuentra archivos con nombres
incorrectos donde los contenidos no
coinciden con su extensión.
https://www.osforensics.com/
Bulk Extractor
Bulk Extractor es una herramienta informática

forense que es capaz de analizar una imagen
de disco, un archivo o un directorio de
archivos y extraer la información útil sin
necesidad de analizar las estructuras del
sistema de archivos.
https://github.com/simsong/bulk_extractor
El Software Forense EnCase es capaz
de realizar adquisiciones, restaurar
unidades de disco duro (clonar bit por bit
y hacer un HDD clonado), completar una
amplia investigación a nivel de disco, y
crear informes extensos, entre muchas
otras cosas.
CAINE es una Distribución GNU/Linux
creada como un Proyecto de Forense
Digital, ofrece un completo entorno
forense que está organizado para
integrar herramientas de software
existentes como módulos de software y
proporcionar una interfaz
gráfica amigable.
https://www.caine-live.net/
CSI Linux Analyst
CSI Linux Gateway
CSI Linux SIEM

CSI Linux es un entorno de
investigación multipropósito, todo
incluido, comenzando con
investigaciones en línea (OSINT, redes
sociales, reconocimiento de dominios y
web oscura) hasta la respuesta de
incidentes forenses digitales fuera de
línea al análisis de malware y más, es un
entorno ideal para la capacitación y las
investigaciones del mundo real.
https://csilinux.com/
TÉCNICAS DE HACKING EN
APLICACIONES PARA DISPOSITIVOS
MÓVILES FACEBOOK Y WHATSAPP
TÉCNICAS DE HACKING EN APLICACIONES PARA
DISPOSITIVOS MÓVILES FACEBOOK Y WHATSAPP
Spyzie ciertamente una APK de

hackeo Android que puedes utilizar.
La aplicación te dejara obtener un
control del dispositivo sin ser
detectado. Desde su ubicación
hasta las redes sociales, puedes
obtener todo tipo de detalles
relacionados a él.
https://www.spyzie.com/es/
Zanit es una herramienta de penetración de dispositivo

popular y extremadamente segura que puede también ser
utilizada para hackear dispositivos Android en un bajo
nivel.
• Puedes mapear redes enteras con ella y saber sobre el historial de

navegación del dispositivo.
• La herramienta también extrae otros archivos de datos que pueden
contener detalles vitales del usuario.
• También proporciona un paquete de manipulación, descubrimiento
de puerto, mapeo de redes, etc
https://www.zimperium.com/zanti-mobile-penetration-testing
FaceNiff
FaceNiff es una de las principales aplicaciones de

hacking de Android que nos permite interceptar y ver
el tráfico de nuestra red WiFi. Esta herramienta es
ampliamente utilizada para husmear en Facebook,
Twitter y otros sitios web de redes sociales usando el
dispositivo Android.
http://faceniff.ponury.net/
cSploit es una suite se seguridad para
análisis de redes y pentesting desde el
móvil.
Con cSploit podrás mapear tu red, descubrir
servicios activos, buscar vulnerabilidades,
realizar ataques es MitM, manipular trafico
de red en tiempo real
https://github.com/cSploit/android
FBI: (Facebook Information)
FBI (Facebook Information) es una
recopilación precisa de información de la
cuenta de Facebook, toda la información
confidencial se puede recopilar
fácilmente aunque el objetivo o victima
convierta toda su privacidad en (solo
yo), información confidencial sobre
residencia, fecha de nacimiento,
ocupación, número de teléfono y
dirección de correo electrónico y la de
todos sus contactos.
https://github.com/xHak9x/fbi
Termux es un emulador de terminal
Android y una aplicación de entorno
Linux que funciona directamente sin
necesidad de enrutamiento o
configuración.
https://termux.com/
Ngrok
Ngrok es un proxy inverso que crea un túnel
seguro desde un punto final público a un
servicio web que se encuentra alojado y se
ejecuta localmente. Ngrok captura y analiza
todo el tráfico sobre el túnel para su posterior
inspección y reproducción.
Igualmente esta herramienta es

utilizada por los
ciberdelincuentes para
realizar ataques de
phishing actualmente. Crea tu
propio servidor de phishing
para hackear cuentas de
Facebook u otra red social.
https://ngrok.com/
¿Qué es Kali Linux?
Kali Linux se lanzó el 13 de marzo de 2013.
Kali Linux es una distribución de Linux

basada en Debian destinada a pruebas
avanzadas de pentesting y auditoría de
seguridad.
Kali Linux es desarrollado, financiado y

mantenido por Offensive Security , una
compañía líder en capacitación en
seguridad de la información.
Requisitos de instalación de Kali Linux
Los requisitos de instalación para Kali Linux varían según lo que le
gustaría instalar.
En el extremo inferior:
Puede configurar Kali como un servidor Secure Shell (SSH) básico

sin escritorio, utilizando:
• 128 MB de RAM (se recomiendan 512 MB)

• 2 GB de espacio en disco.
En el extremo superior:
Si opta por instalar el escritorio predeterminado y el metapaquete

kali-linux-default, realmente debería apuntar a al menos:
• 2048 MB de RAM
• 20 GB de espacio en disco.
Algunas de las muchas
herramientas que podemos
encontrar en Kali Linux, en
sus diferentes categorías.
Kali Linux NetHunter
Kali NetHunter es una plataforma de prueba

de pentesting móvil gratuita y de código
abierto para dispositivos Android, basada
en Kali Linux
Diseñada inicialmente para los

dispositivos Nexus más modernos
y, además, para OnePlue One.
Hoy en día es compatible con más
de 50 modelos de smartphones
Android diferentes.
Donde Descargar Kali Linux
https://www.kali.org/downloads/
Las diferentes distribuciones de

Kali Linux la podemos obtener
en su página oficial, donde
tenemos la opción de descargar
en imágenes .ISO para
instalaciones desde cero o
descargar listas y configuradas
para maquinas virtuales en
Vmware o VirtualBox.
TRABAJO FORENSE
1. La metodología general del procedimiento de evidencia digital, se centra en 4 pasos

principales y un reporte de resultados del análisis.
2. Previo a la iniciación del procedimiento de evidencia digital, es necesario verificar que el

evento que está siendo reportado, es realidad un incidente que atenta contra la
confidencialidad, integridad o disponibilidad de la información. Esta labor es realizada en
el proceso de evaluación y decisión de incidentes. Una vez se confirma la autenticidad, es
necesario también determinar si dicho incidente requiere o no de un análisis forense
(procedimiento de evidencia digital).
3. Previo a la iniciación del procedimiento de evidencia digital, es necesario verificar que el

evento que está siendo reportado, es realidad un incidente que atenta contra la
confidencialidad, integridad o disponibilidad de la información. Esta labor es realizada en
el proceso de evaluación y decisión de incidentes. Una vez se confirma la autenticidad, es
necesario también determinar si dicho incidente requiere o no de un análisis forense
(procedimiento de evidencia digital).
4. FASE I. AISLAMIENTO DE LA ESCENA
Una vez el evento reportado se cataloga como un incidente de seguridad de la

información, es necesario restringir el acceso a la zona donde se produjo el incidente para
evitar cualquier tipo de alteración o contaminación a la evidencia que pueda recolectarse
para la posterior investigación.
Dentro de los procedimientos más comunes para el aislamiento de la escena, se

encuentran los siguientes:
• De ser preferible, tomar una fotografía del equipo o sitio del incidente antes de
tocarlo.
• Establecer un perímetro de seguridad, para que nadie pueda acercarse.
• Si el equipo se encuentra encendido, no se debe apagar, deberá procederse a
realizar los siguientes procedimientos:
o Sellar los puertos USB, firewire, Unidades CD/DVDetc…para impedir
alguna alteración posterior al registro de la escena.
o Tomar fotografías de lo que se puede ver en la pantalla (software
corriendo, documentos abiertos, ventanas de notificación, hora y fecha
ilustrados)
o Asegurar el equipo (Si es portátil, tratar de mantenerlo encendido con el
cargador hasta hacer entrega o iniciar el análisis respectivo).
o Si es posible capturar información volátil del equipo antes de que se
apague, debe hacerse empleando las herramientas forenses necesarias.
• Si el equipo se encuentra apagado, no realizar el encendido, esto puede alterar la

escena o borrar información que podría lograr obtenerse posteriormente.
• Llevar los elementos necesarios para la recolección de información como
estaciones forenses, dispositivos de backups, medios formateados y/o estériles,
cámaras digitales, cinta y bolsas para evidencia, papel de burbuja, bolsas
antiestáticas, cajas de cartón, rótulos o etiquetas etc….
• Almacenar la información original en un sitio con acceso restringido, para
garantizar la cadena de custodia de la información.
• Obtener información de dispositivos que tuvieron contacto o interacción con el
equipo en cuestión (switches, firewalls, Access points etc…).
5. FASE II. IDENTIFICACIÓN DE FUENTES DE INFORMACIÓN,

PASOS INICIALES DE ADQUISICIÓN DE INFORMACIÓN
Identificar fuentes potenciales de información de donde se puedan extraer datos para soportar el
proceso de evidencia digital.
Las fuentes más comunes para encontrar información son las siguientes:
• Computadoras de escritorio y portátiles

• Servidores (Web, DHCP, Email, Mensajería Instantánea, VoIP Servers, FTP o
cualquier servicio de filesharing).
• Almacenamiento en red.
• Medios tanto internos como externos que contemplan: Dispositivos USB,
CD/DVD, PCMCIA, Discos Ópticos y Magnéticos, Discos Duros Extraíbles,
Memorias SD y MicroSD etc…
• Dispositivos celulares, PDAs, Camaras Digitales, Gradaboras de video y audio.
A nivel de seguridad informática, pueden considerarse otras fuentes adicionales de

información como por ejemplo:
• Logs de dispositivos de seguridad informática como IDS, Firewalls, Plataformas de

Antispam, Proxy, bien sea ubicados dentro de los dispositivos o consolidados en
algún sistema SIEM.
• Logs de dispositivos de red como switches o routers.
• Logs de proveedores de servicio (que pueden obtenerse bajo órdenes judiciales
únicamente).
6. FASE III. RECOLECCIÓN Y EXAMINACIÓN DE INFORMACIÓN

Una vez se han identificado las posibles fuentes de información, se debe proceder a
realizar la recolección y examinación de los datos disponibles.
La secuencia para llevar a cabo la recolección y examinación de medios/información es la
siguiente:
• 1. CREACIÓN DEL ARCHIVO / BITÁCORA DE HALLAZGOS (CADENA DE CUSTODIA):

Consiste en la creación y aseguramiento de un documento, ya sea físico o
electrónico, que permita llevar un historial de todas las actividades que se llevan a
cabo durante el proceso, y de los hallazgos encontrados, de modo que se tenga un
resumen que permita hacer la reconstrucción del caso tiempo después de que
este haya sido analizado.
• 2. IMAGEN DE DATOS
Consiste en la generación de las imágenes de datos que conciernen al caso en
investigación. Se recomienda utilizar herramientas de extracción de imágenes
como Linux dd o Encase Forensic Software.
• 3. VERIFICACIÓN DE INTEGRIDAD DE LA IMAGEN
Para cada imagen suministrada se debe calcular su compendio criptográfico
(SHA1/MD5), comparándolo luego con el de la fuente original. Si la comparación
arroja un resultado negativo se debe rechazar la imagen proveída en el primer
paso.
• 4. CREACIÓN DE UNA COPIA DE LA IMAGEN SUMINISTRADA
En un análisis de datos nunca se debe trabajar sobre la imagen original
suministrada. Debe realizarse una copia master y a partir de esta, se reproducen
las imágenes que se requieran.
• 5. VERIFICACIÓN DE INTEGRIDAD DE LA IMAGEN
Para cada imagen suministrada se debe calcular su compendio criptográfico
(SHA1/MD5), comparándolo luego con el de la fuente original. Si la comparación
arroja un resultado negativo se debe rechazar la imagen proveída en el primer
paso.
• 6. CREACIÓN DE UNA COPIA DE LA IMAGEN SUMINISTRADA
En un análisis de datos nunca se debe trabajar sobre la imagen original
suministrada. Debe realizarse una copia master y a partir de esta, se reproducen
las imágenes que se requieran.
• 7. ASEGURAMIENTO DE LA IMAGEN ORIGINAL SUMINISTRADA
Se debe garantizar que la imagen suministrada no sufra ningún tipo de alteración,
con el fin de conservación de la cadena de custodia y del mantenimiento de la
validez jurídica de la evidencia.
• 8. REVISIÓN ANTIVIRUS Y VERIFICACIÓN DE LA INTEGRIDAD DE LA COPIA DE LA
IMAGEN
Una vez se ha obtenido la copia de la imagen, es necesario asegurar que no tenga
ningún tipo de virus conocido.
Tipos De Software O Aplicativos Para Realizar Informática Forense
En la actualidad existen cientos de herramientas para la Investigación Forense y el uso de
herramientas sofisticadas se hace necesario debido a:
La gran cantidad de datos almacenados en un computador.

La variedad de formatos de archivos, que pueden variar dentro del contexto de un mismo sistema
operativo.
La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia
es exacta.
Entre otras, acá presentamos las herramientas que consideramos mas relevantes para realizar estos
análisis forenses.
• Autopsy es un software informático que simplifica la implementación de muchos de los

programas y complementos de código abierto utilizados en The Sleuth Kit.
El análisis forense digital permite la identificación y descubrimiento de información
relevante en fuentes de datos como imágenes de discos duros, memorias USB, capturas
de tráfico de red, o volcados de memoria de computadoras.
Está creada en lenguaje Perl y actualmente tiene la versión en código JAVA. Esta
plataforma de análisis forense digital es usada por gobiernos y entidades públicas como
privadas, fuerzas de seguridad como policías y militares, profesionales y peritos
informáticos para investigar lo ocurrido en un ordenador después de algún incidente
(como un ataque o una falla), intentando recuperar archivos o buscar manipulaciones del
sistema.
• Use OSForensics para confirmar que los archivos no han sido dañados o alterados al
comparar valores hash o identificar si un archivo desconocido pertenece a un conjunto
conocido de archivos. Verifique y combine archivos con hash MD5, SHA-1 y SHA-
256.Encuentra archivos con nombres incorrectos donde los contenidos no coinciden con
su extensión.
• Bulk Extractor es una herramienta informática forense que es capaz de analizar una
imagen de disco, un archivo o un directorio de archivos y extraer la información útil sin
necesidad de analizar las estructuras del sistema de archivos.
Los resultados que se obtienen de estos análisis luego pueden ser fácilmente
inspeccionados o procesados con otras herramientas especializadas. Otra de las grandes
ventajas de ignorar para el análisis los sistemas de archivos es que este software se puede
utilizar para procesar cualquier medio digital, incluyendo discos duros, medios de
almacenamiento SSD, medios ópticos, tarjetas de memoria como las utilizadas en cámaras
y smartphones, registros de paquetes de red y muchos otros tipos de información digital
• El Software Forense EnCase es capaz de realizar adquisiciones, restaurar unidades
de disco duro (clonar bit por bit y hacer un HDD clonado), completar una amplia
investigación a nivel de disco, y crear informes extensos, entre muchas otras cosas.
• CSI Linux es un entorno de investigación multipropósito, todo incluido, comenzando

con investigaciones en línea (OSINT, redes sociales, reconocimiento de dominios y
web oscura) hasta la respuesta de incidentes forenses digitales fuera de línea al
análisis de malware y más, es un entorno ideal para la capacitación y las
investigaciones del mundo real.
CSI Linux Investigator es un dispositivo de máquina virtual que contiene 3 máquinas

virtuales diferentes.
o CSI Linux Analyst es la principal estación de trabajo de investigación y se
utiliza para análisis forense digital, cubriendo herramientas para investigar,
capturar, analizar e informar incidentes.
o CSI Linux Gateway envía todo el análisis de tráfico de herramientas a través
del navegador TOR, ocultando así la dirección IP de origen para mayor
seguridad y la mayoría de las herramientas web ayudan a interactuar con el
navegador TOR.
o CSI Linux SIEM se utiliza para respuesta a incidentes y sistemas de detección
de intrusos. Si nuestro sistema se ve comprometido, podemos usar esta
herramienta para verificar la presencia de vulnerabilidades.
TÉCNICAS DE HACKING EN APLICACIONES PARA DISPOSITIVOS MÓVILES FACEBOOK Y

WHATSAPP
• Spyzie una APK de hackeo Android que puedes utilizar. La aplicación te dejara obtener un
control del dispositivo sin ser detectado. Desde su ubicación hasta las redes sociales,
puedes obtener todo tipo de detalles relacionados a él.
Esta basada en la web, para que los padres puedan rastrear a sus hijos o los dueños de
empresas puedan monitorear a sus empleados. Cuando se usa para rastrear un teléfono o
tablet Android, te permite extraer información del dispositivo Android objetivo después
de un simple proceso de configuración. Puedes ver los datos monitoreados de forma
remota desde cualquiera de tus propios teléfonos inteligentes, tablets o computadoras,
siempre y cuando estén conectados a Internet.
• zANTI TM es un conjunto de herramientas de prueba de penetración móvil que permite

a los administradores de seguridad evaluar el nivel de riesgo de una red con solo
presionar un botón. Este kit de herramientas móvil fácil de usar permite a los
administradores de seguridad de TI simular a un atacante avanzado para identificar
las técnicas maliciosas que utilizan en la naturaleza para comprometer la red
corporativa.
• FaceNiff es una de las principales aplicaciones de hacking de Android que nos permite
interceptar y ver el tráfico de nuestra red WiFi. Esta herramienta es ampliamente utilizada
para husmear en Facebook, Twitter y otros sitios web de redes sociales usando el
dispositivo Android. Esta herramienta favorita de hackers roba las cookies de la red WiFi y
otorga a un atacante un acceso no autorizado a la cuenta de la víctima.
• cSploit es un paquete de análisis y pentesting de red Android gratuito / libre y de código

abierto (GPL) que pretende ser el kit de herramientas profesional más completo y
avanzado para expertos en seguridad de TI para realizar evaluaciones de seguridad de red
en un dispositivo móvil.
con esta suite se seguridad podrás mapear tu red, descubrir servicios activos, buscar
vulnerabilidades, realizar ataques es MitM (man-in-the-middle attack o ataque de hombre
en el medio) también pueden manipular el tráfico de red en tiempo real.
• Termux es un emulador de terminal Android y una aplicación de entorno Linux que

funciona directamente sin necesidad de enrutamiento o configuración. (para una persona
dedicada al pentesting el hecho de tener una terminal en un teléfono móvil es muy
importante le abre un mundo de posibilidades para instalar las distintas herramientas que
podemos encontrar en sistemas operativos como Kali Linux entre estas metasploit para
atacar sistemas windows o Linux, o la suite de Tool-x la cual es una suite de herramientas
de hacking y la tendríamos en nuestro teléfono). Podemos instalar Git, Perl, Python, Ruby,
Node.js, OpenSSH, curl, wget, gcc, nano, vim … incluso podemos montar un servidor ssh
en el propio dispositivo para poder conectarse desde el exterior. (una de las mejores
herramientas).
• Ngrok es una herramienta que permite crear una puerta a nuestro servidor local para ser
accedida por cualquier persona en internet con la que compartamos una URL generada
dinámicamente, esto es muy útil por ejemplo cuando necesitamos mostrar avances
constantemente en sitios que se encuentran en etapa de desarrollo o cuando trabajamos
con un equipo de desarrolladores de forma remota.
NGROK nos permite realizar esto sin hacer ninguna configuración extra en el router o
firewall simplemente basta con bajar la pequeña aplicación (apenas 4 MB)
Igualmente esta herramienta es utilida por los ciberdelincuentes para realizar ataques de
phishing actualmente. Crea tu propio servidor de phishing para hackear cuentas de
Facebook u otra red social.
• FBI (Facebook Information) es un herramienta de Information gathering precisa de

una cuenta de Facebook. Toda la información confidencial se puede recopilar fácilmente a
pesar de que el objetivo/víctima convierta toda su privacidad a (solo para mí), información
confidencial sobre residencia, fecha de nacimiento, ocupación, número de teléfono y
dirección de correo electrónico.
con esta herramienta no vas a hackear facebook!, PERO puedes obtener información
confidencial de tus contactos (amigos) y incluso usar un bot para dar likes o comentarios
en automático….
Que es kali linux:

1. Kali Linux es una distribución de Linux basada en Debian destinada a pruebas avanzadas
de pentesting y auditoría de seguridad.
Kali contiene varios cientos de herramientas que están orientadas a diversas tareas de
seguridad de la información, informática forense e ingeniería inversa.
Kali Linux es desarrollado, financiado y mantenido por Offensive Security , una compañía
líder en capacitación en seguridad de la información.
Kali Linux se lanzó el 13 de marzo de 2013 como una reconstrucción completa de arriba a
abajo de BackTrack Linux , que se adhiere completamente a los estándares de desarrollo
de Debian .
2. Los requisitos de instalación para Kali Linux varían según lo que le gustaría instalar.
En el extremo inferior:
Puede configurar Kali como un servidor Secure Shell (SSH) básico sin escritorio, utilizando:
128 MB de RAM (se recomiendan 512 MB)
2 GB de espacio en disco.
En el extremo superior:
Si opta por instalar el escritorio predeterminado y el metapaquete kali-linux-default,

realmente debería apuntar a al menos:
2048 MB de RAM
20 GB de espacio en disco.
3. Algunas de las muchas herramientas que podemos encontrar en Kali Linux, en sus
diferentes categorías.
4. Kali Linux NetHunter es la primera plataforma de prueba de penetración de Android de

código abierto para dispositivos Nexus, creada como un esfuerzo conjunto entre el
miembro de la comunidad de Kali " BinkyBear " y Offensive Security
Desde hace tiempo, los responsables de Kali Linux llevan apostando por Android para
convertir los smartphones de los usuarios en auténticos dispositivos para hacking ético
que permitan poder llevar a cabo distintas prácticas de seguridad allá donde vayan. Esta
ROM personalizada para hacking ético se llama NetHunter y fue diseñada inicialmente
para los dispositivos Nexus más modernos y, además, para OnePlue One. Hoy en día es
compatible con más de 50 modelos de smartphones Android diferentes.
5. Las diferentes distribuciones de Kali Linux la podemos obtener en su página oficial, donde
tenemos la opción de descargar en imágenes .ISO para instalaciones desde cero o
descargar listas y configuradas para maquinas virtuales en Vmware o VirtualBox.
ETHICAL-HACKING
TUTORIA IV. Ing. Alirio Otálora

Tabla de Contenidos
1. Metodologías de hacking.
2. Determinar la ubicación de un equipo a través de su dirección IP.
3. Identificar el proveedor de servicio de una conexión IP.
4. Identificar los servidores de eMail y DNS de una empresa.
5. Identificar direcciones de eMail válidas de un dominio.
6. Realizar escaneos de puertos TCP y UDP.
7. Identificar sistemas operativos y versiones de software instalado
8. Comprender los conceptos de Buffer Overflow, Exploit, Shellcode y otros.
9. Identificar las vulnerabilidades de los sistemas.
10. Realizar pruebas de ataque tanto externas como internas.
11. Utilizar la herramienta de explotación Metasploit.
12. Conocer los ataques más utilizados.
13. Llevar a cabo correctamente el proceso de penetration testing.
El Ethical Hacking, es de las especializaciones de seguridad informática
más apetecidas por las empresas a nivel mundial, todos los días crece
la necesidad de tener personas con los principales conocimientos en
estas áreas, para contrarrestar los ataques de la creciente comunidad
de Hackers, la cual tiene mayor representación en Asia y Medio
Oriente, pero que está regada por todo el mundo.
Es muy delgada la línea entre un hacker de sombrero blanco y un
hacker de sombrero negro, a nivel de conocimientos ambos tienen la
capacidad de reconocer vulnerabilidades y/o fallos en sistemas, para
sacar provecho de la situación, el hacker ético tiene como misión
explotar estas vulnerabilidades y reportar las mismas, el fin nunca es el
sacar provecho económico de la situación, por lo contrario el objetivo
es hacer recomendaciones y/o diseñar controles para la mejora del
sistema.
Metodologías de hacking
OSSTMM (FUENTE ABIERTA DE SEGURIDAD MANUAL DE MÉTODOS DE
PRUEBA)
Metodología que propone un

Como parte de un trabajo secuencial la
proceso de evaluación de una
metodología OSSTMM consta de 6
serie de áreas que refleja de
ítems los cuales comprenden todo
manera fiel los niveles de
sistema actual, estos son:
seguridad presentes en la
infraestructura que va a ser ● Visibilidad
● Seguridad de la Información
auditada, a estos niveles de ● Acceso
● Seguridad de los Procesos
seguridad se le denominan ● Confianza
● Seguridad en las tecnologías de
comúnmente “Dimensiones de ● Autenticación
Internet
Seguridad” y normalmente ● Confidencialidad
● Seguridad en las comunicaciones
consiste en analizar los ● Privacidad
● Seguridad inalámbrica
siguientes factores. ● Autorización
● Seguridad Física
● Integridad
● Seguridad
● Alarma
ISSAF (MARCO DE EVALUACIÓN EN SISTEMAS DE
INFORMACIÓN DE SEGURIDAD)
Marco metodológico de trabajo desarrollado por la OISSG que permite clasificar la información de la
evaluación de seguridad en diversos dominios usando diferentes criterios de prueba. Algunas de las
características más representativas de ISSAF son:
● Brinda medidas que permiten reflejar las condiciones de escenarios reales para las evaluaciones de
seguridad.
● Esta metodología se encuentra principalmente enfocada en cubrir los procesos de seguridad y la
evaluación de los mismos para así obtener un panorama completo de las vulnerabilidades existentes.
● Permite el desarrollo de matriz de riesgo para verificar la efectividad en la implementación de controles
OWASP (SOLICITUD DEL PROYECTO DE SEGURIDAD OPEN WEB)
Metodología de pruebas enfocada en la seguridad de aplicaciones, El marco de trabajo descrito en este

documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el
proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su
negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo,
algunas de las características más representativas de OWASP son:
● Pruebas de firma digital de
aplicaciones Web.
● Comprobaciones del sistema de
autenticación.
● Pruebas de Cross Site Scripting.
● Inyección XML
● Inyección SOAP
● HTTP Smuggling
● Sql Injection
● LDAP Injection
● Polución de Parámetros
● Cookie Hijacking
● Cross Site Request Forgery
CEH (ETHICAL HACKING CERTIFICADO)
Metodología de pruebas de seguridad desarrollada por el International Council of Electronic Commerce

Consultants (EC- Council) algunas de las fases enunciadas en esta metodología son:
● Obtención de Información.
● Obtención de acceso.
● Enumeración.
● Escala de privilegios.
● Reporte
OFENSIVA DE SEGURIDAD
Metodología líder a nivel mundial para el desarrollo de pruebas de penetración y estudios de seguridad, la
metodología contempla principalmente los métodos para el desarrollo de estudios de seguridad enfocados
en seguridad ofensiva y teniendo como marco la posibilidad real de explotación independientemente de los
indicadores de riesgos y vulnerabilidades, las principales ventajas de adoptar este marco metodológico
son:
● Enfoque sobre la explotación real de las plataformas.

● Enfoque altamente intrusivo.
● Enfoque orientado a resultados tangibles y no a estadísticas generadas por herramientas.
Determinar la ubicación de un equipo a
través de su dirección IP.
Determinar la ubicación de un equipo
a través de su dirección IP
• IP (Internet Protocol address) es un identificador único.
• Versiones IP.
• IP v4 (32 bits).
• IP v6 (128 bits).
• Estructura IP v4.
• ARPANET 1983.
• 4 segmentos de 8 bits.
• Ejemplo: 192.168.178.31.
• Cada segmento toma valores de 0 a 255.
• 43.000 millones de direcciones.
• Estructura IP v6.
• Internet Engineer Task Force 1994.
• 8 segmentos de 16 bits.
• Ejemplo: 0000:0000:0000:0000:0000:ffff:c0a8:b21f.
• Cada segmento toma valores de dígitos hexadecimales, es decir, de 0 a
ffff (0 a 65535).
• 340 sextillones 1037.
• Resolución de la dirección IP.
• Determinar si están en la misma red.
• Cuando están en diferente red, solicitud a servidor DNS (Domain Name
System).
• DENSEC (Domain Name System Security Extensions).
• Tipos de IP.
• Dinámicas.
• Estáticas.
• Reservadas o usos especiales.
• IP dinámica.
• Uso normal en internet para navegar.
• El proveedor de internet (ISP), la asigna aleatoriamente.
• Dura mientras la conexión.
• Cambian regularmente (normalmente cada 24 horas).
• Tipos Estáticas.
• Servidores web.
• Redes privadas LAN.
• IP Reservadas o para usos especiales.
• 127.0.0.1 para el localhost.
• 255.255.255.255 para broadcast.
• 10.0.0.0 a 10.255.255.255 (Clase A).
• 172.16.0.0 a 172.31.255.255 (Clase B).
• 192.168.0.0 a 192.168.255.255 (Clase C).
• IP Públicas.
• Identificadores únicos en internet.
• 1.0.0.0 a 126.255.255.255 (Clase A) 8/24.
• 128.0.0.0 a 191.255.255.255 (Clase B) 16/16.
• 192.0.0.0 a 233.255.255.255 (Clase C) 24/8.
• IANA (Internet Assigned Numbers Authority).
• ip4.me
• https://query.milacnic.lacnic.net/query/search
• https://www.whoismyisp.org/
• https://es.geoipview.com/
• https://www.iana.org/assignments/ipv4-address-space/ipv4-
address-space.xhtml
• Beneficios.
• Identificar país para pre diligenciar un formulario o desplegar la
información del sitio web en el idioma nativo.
• Ayuda a detectar posibles fraudes en la parte del comercio electrónico.
• Identificar posibles orígenes de ataques informáticos.
Identificar los servidores de eMail y DNS de una empresa.
Identificar direcciones de eMail válidas de un dominio.

Para la validación del dominio de correo de una EMPRESA, la
Realizamos a través del PING.
https://whois.domaintools.com
Con esta pagina realizamos

un rastreo al DOMINIO de
cuenta de una EMPRESA
Realizar escaneos de puertos TCP y UDP.
NMAP
Es un programa de código abierto que sirve para efectuar rastreo de
puertos escrito originalmente por Gordon Lyon (más conocido por su alias
Fyodor Vaskovich y cuyo desarrollo se encuentra hoy a cargo de una
comunidad. Fue creado originalmente para Linux aunque actualmente es
multiplataforma. Se usa para evaluar la seguridad de sistemas
informáticos, así como para descubrir servicios o servidores en una red
informática, para ello Nmap envía unos paquetes definidos a otros equipos
y analiza sus respuestas.
Video de YouTube: https://www.youtube.com/watch?v=OmH2ZfNvAEE

Comprender los conceptos de Buffer
Overflow, Exploit, Shellcode
Buffer Over Flow
En seguridad informática y programación, un desbordamiento de búfer (del

inglés buffer overflow o buffer overrun) es un error de software que se produce
cuando un programa no controla adecuadamente la cantidad de datos que se
copian sobre un área de memoria reservada a tal efecto (buffer): Si dicha
cantidad es superior a la capacidad preasignada, los bytes sobrantes se
almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido
original, que probablemente pertenecían a datos o código almacenados en
memoria. Esto constituye un fallo de programación.
Video de You Tube: https://www.youtube.com/watch?v=M-j-3x1C-Rk
Exploit
Las definiciones habituales hablan de un programa o código que se aprovecha de un

agujero de seguridad (vulnerabilidad) en una aplicación o sistema, de forma que un
atacante podría usarla en su beneficio.
Trasladado a la vida real, sería como si un modelo de cerradura (sistema o
aplicación) tuviera un fallo de diseño que nos permitiera crear llaves que la abrieran
(exploit) y poder así acceder al sitio que trata de proteger y realizar actos delictivos
(malware).
Video de You Tube: https://youtu.be/K49G8UbMx_Y

Shellcode
Primero necesitamos saber el significado etimológico de shellcode.
Shell es como se le dice en ingles (ahora universal) a una terminal. Por lo tanto
shellcode significa que es un código que nos crea una terminal para que la usemos.
Actualmente el término shellcode no solo se refiere al código que nos permite
crear una Shell, sino que se extiende a códigos con más funciones como pueden ser
crear usuarios, matar/crear un determinado proceso, dar permisos a una carpeta.
Y técnicamente... una shellcode es una porción de código compilada para un

determinado procesador que se ejecuta dentro de otro proceso previamente
preparado para que la ejecute
Utilizar la herramienta de explotación
Metasploit.
Utilizar la herramienta de explotación
Metasploit.
Se centra en la creación de una herramienta de explotación de
vulnerabilidades locales, donde parte de la funcionalidad correrá en
meterpreter.
Imaginemos que la víctima recibe, por
ejemplo, un ataque de phishing, pica el
anzuelo, se ejecuta nuestro código y de
repente se conecta a la máquina del
atacante. Se puede ver el flujo a alto nivel
en la siguiente imagen.
Cuando el objetivo ejecuta el archivo, se
conectará a nuestra máquina, que está a la
escucha, se le mandará la longitud del código
que le vamos a hacer llegar, y acto seguido se
le envía el código, que se ejecutará en la
víctima y ya estará meterpreter corriendo.
Para ejecutar el código que se envía a través
del socket, se utiliza la función exec.
Veamos el código que se ejecutará en el

objetivo para hacer las pruebas, lo
generaremos con msfvenom, y escogemos el
payload python/meterpreter/reverse_tcp:
Para mas información en la creación del METASPLOIT, seguir el siguiente LINK
para ver el paso a paso:
https://www.elladodelmal.com/2018/03/metasploit-como-extender-las.html
Proceso de Penetration Testing
Consiste en emular y simular
comportamientos y técnicas que
pueden ser utilizadas por los
¿Penetration Test?
intrusos con el objetivo de
analizar el nivel de seguridad y
la exposición de los sistemas ante
posibles ataques.
Permite detectar vulnerabilidades

en los Sistemas Informáticos y
corregirlas en forma rápida y
eficaz.
Es un conjunto de metodologías y
técnicas que permiten realizar una
evaluación integral de las debilidades
de los sistemas informáticos.
Consiste en un modelo que reproduce

intentos de acceso de un potencial
intruso desde los diferentes puntos de
entrada que existan, tanto internos
como remotos, a cualquier entorno
informático, permitiendo demostrar los
riesgos funcionales
de las vulnerabilidades detectadas
Los ataque pueden ser perpetrados
en forma externa o interna.
Los ataques externos son más

Metodología de una
fáciles de detectar que los ataques intrusión
internos. El intruso interno ya tiene
acceso a la red interna o incluso al
mismo server que quiere atacar
Penetration Penetration
Test Externo Test Interno
Se someten a los sistemas a pruebas de Actividades principales:
seguridad informática que simulan las que Testing del nivel de
se producen durante la realización de un seguridad en los dispositivos
ataque. Para esto se describen las de red internos
actividades principales como: Testing de seguridad de los
Análisis del sistema remoto principales servidores
Situación de seguridad en la conexión de Testing de seguridad general
internet de las estaciones de trabajo
Seguridad en la conexión de otras redes Testing de la seguridad de
Seguridad en aplicaciones web las aplicaciones
Seguridad en redes Wireless.
Estándares con penetración
testing
B5 – 7779 DE ISO I77 (International)
Open source security testing methodology manual
Federal information system controls audit manul (FISCAM

Principales etapas de una
penetración test
Como se realiza una
Penetración Test
Se utiliza una metodología de evaluación de seguridad informática de las siguientes etapas:
1) Descubrimiento: Se centra en entender los riesgos del negocio asociado al uso de los activos
informáticos involucrados, esta información suele ser (rangos de direcciones de ip asignados,
direcciones de ip de servicios tercerizados, dirección física de la empresa, cuentas de correo, análisis
de la pagina web, redes inalámbricas.
2) Exploración: Se busca focalizar los objetivos para las posteriores etapas de evaluación y intrusión,
esta información suele ser: (detección de módems activos, sistemas operativos, detección de software y
versiones, detección de barreras de protección.
3) Evaluación: Se basa en el análisis de todos los datos encontrados para la detección y determinación
de vulnerabilidades de seguridad informática, esta información suele ser con las herramientas de
scanning de vulnerabilidades.
4) Intrusión: Se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de
secuencias controladas a las vulnerabilidades propias de los sistemas identificados.
Video Pentesting
Ataques de piratas informáticos

https://www.swissinfo.ch/spa/ciberataques_ataques-de-piratas-inform%C3%A1ticos-a-
grandes-empresas/42085650
¿Qué es el Pentesting con Kali?

https://www.youtube.com/watch?v=lJz2_3W25O4

Informatica Forense Consolidado Cipas PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informatica Forense Consolidado Cipas PDF

Cargado por

Copyright:

Formatos disponibles

Julio Cesar Cortes Ruiz

Albeiro Parra Sánchez

• Computo Forense • Delito Informático

EXAMINACIÓN FORENSE DIGITAL

IDENTIFICAR PRESERVAR ANALIZAR PRESENTAR

DATOS VALIDOS DENTRO DE UN PROCESO LEGAL

¿Qué información se necesita?

Levantamiento de información Asegurar la escena

Copias de la evidencia. Cadena de custodia

Este análisis se dará por concluido cuando se descubra:

• cómo se produjo el ataque,

Preparación para Reconstrucción Determinación

Etapa 4: Etapa 5: Etapa 6:

Identificación Perfil Evaluación del impacto

Este informe consiste en una

METODOLOGÍA DE ANÁLISIS FORENSE MILITAR

Registros almacenados en un equipo

Registros generados por un equipo

• archivos generados temporalmente por

El análisis forense se lleva a Podemos encontrar 4 ciclos.

Es el estudio inicial mediante Mediante la adquisición se

pruebas recabados sino que, además

Algunos ejemplos de incidentes de seguridad

❖ Objetivo de la fase. ❖ Matriz de diagnostico.

➢ Elegir una estrategia de contención.

➢ Documentar y mejora continua.

Un delito informático o ciberdelincuencia es toda aquella acción, típica, antijurídica y

Propiedad Intelectual: Delito que se Terrorismo Virtual: Se da cuando se ataca

Herramientas de virtualización: Son Editores Hexadecimales: Un editor

Herramientas de investigación y Herramientas de recuperación de datos o

Clonación: Software especializado en

(Malicious Software o también llamado

• Cuál es el objetivo del análisis de malware?

La creación y aplicación de medidas

La cadena de custodia es uno de los

Dependiendo de la situación, las soluciones pueden estar entre reparar el sistema de

La informática forense puede definirse

✓ Cumplimiento de la normatividad legal.

Dispositivos de almacenamiento Dispositivos de memoria flash Dispositivos de almacenamiento

✓ Recolectar evidencia digital presente en toda clase

El aspecto más importante a la hora de recolectar evidencia, es la preservación de la integridad

• Al clonar la información se debe garantizar que el original y la copia son

• 1. Mapeo del entorno de datos

• Realizar una investigación formal sin conocimiento y experiencia.

• Mantener la cadena de custodia (proceso que verifica la integridad

Notas del Analista

➢ Identidad de la agencia generadora del reporte.

1. Preservación o resguardo: Obtención de la información a analizar.

➢ Admite hashing de todos los archivos, lo que permite el filtrado comparativo

La superficie de un disco esta dividida en unos elementos llamadas pistas

Las pistas están divididas en sectores, el número de sectores es variable. Un

Es un grupo de sectores, cuyo tamaño depende de la capacidad del disco. A continuación se

Existen 5 tipos básicos de memorias flash:

• SLC(Single LayerCell): escribe un bit por celda

El uso de una u otra influirá mucho tanto en el precio como en la durabilidad y

La controladora es quien hace la diferencia. Se trata de un pequeño procesador

La controladora Barefoot 3 de OCZ no necesita comprimir los archivos, evitando

La interface es el software que comunica el HDD y la placa base. Los tipos de

4. Caché (Memoria RAM)

Sector de arranque: Es el primer sector de un disco duro en él se almacena la tabla de particiones y un

Los sistemas de archivos dividen el espacio de almacenamiento en una unidad en compartimentos

ext2, ext3, ext4 (Extended File System or ext)

ZFS (Zed File System)