INFORMATICA FORENSE

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

La Informática Forense es de por si una

especialidad de lo que se entiende como
Seguridad Informática, el objetivo de este
curso presentar los fundamentos básicos de
lo que es la informática forense y explorar
algunas herramientas, avanzar en procesos
de adquisición, análisis de evidencias y
presentación de un informe.

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

Perito Investigador Calificado

Conocimiento en Técnicas Forenses

Experto en Seguridad Defensiva

Experto en Seguridad Ofensiva

Experto TICs

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

Delito Informático: Se define como una actividad que es clasificada

como ilícita y/o delictiva, la cual se realiza utilizando las tecnologías de la
información, y que va contra de la leyes y el código penal de un país o
estado. Los delitos informáticos, tienen su base en algunas leyes y
decretos. Para el caso de Colombia se tiene la Ley sobre delitos
informáticos, la Ley 1273 de 2009.
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492
Según la gravedad, los delitos informáticos, pueden aplicar condenas en
una cárcel, o altas multas. Las condenas, y multas son variables
dependiendo de la gravedad del delito, y de la ley de cada país o estado.

© César Augusto Zárate ( c4m4l30n

Fundamentos de Informática Forense

Definición de informática forense

Es una ciencia forense que se ocupa del
uso de los métodos científicos aplicables a
los sistemas informáticos.

La informática forense es la ciencia forense

que se encarga de asegurar, identificar,
preservar, analizar y presentar la evidencia
digital, de manera que ésta sea aceptada
en un proceso judicial.
La informática forense investiga los
sistemas de información con el fin de
detectar evidencias de vulnerabilidad en
los mismos.

© César Augusto Zárate ( c4m4l30n

Finalidades y Objetivos de Informática Forense

© César Augusto Zárate ( c4m4l30n

Persecución Investigación de Temas Data Recovery: Network Forensics:
Criminal: Litigación Civil: Seguros: Corporativos.: • Situación en la • Obtener
• Evidencia Casos relativos a • La evidencia • obtener que es necesario información
incriminatoria fraude, encontrada información en recuperar sobre cómo un
que puede ser discriminación, puede ayudar a casos que tratan información que atacante ha
usada para acoso, divorcio, las aseguradoras sobre acoso ha sido accedido al
procesar delitos etc. a disminuir sexual, robo, mal eliminada por sistema
y crímenes costos de uso o error, durante informático y las
reclamaciones apropiación de una subida de acciones que ha
información tensión, o una podido llevar a
confidencial, caída cabo en él.
espionaje de servidores.
industrial.

Ámbito de Actuación de Informática Forense

© César Augusto Zárate ( c4m4l30n

 Principios de la Informática Forense
Evitar la contaminación:
• No se realizará ninguna
acción que modifique
los datos contenidos en un
ordenador o dispositivo de
almacenamiento.
Para poder obtener un
análisis veraz y certero, la
información debe estar
lo mas estéril posible.
Actuar Metódicamente:
• El investigador debe ser
responsable de sus
procedimientos y del
desarrollo de la
investigación; por lo tanto,
es importante que se
documenten claramente
los procesos, herramientas
y análisis
durante todo el proceso
Tener Control Sobre la
Evidencia:
• Debe mantenerse en
custodia cualquier
evidencia relacionada con
el caso, documentando
asimismo cualquier evento
que pueda afectarla: quién
entregó la evidencia, cómo
se transportó, quién tuvo
acceso a la evidencia, etc.
De ese modo, un tercer
analista independiente
debería ser capaz de
examinar esos registros y
alcanzar el mismo
resultado.
© César Augusto Zárate ( c4m4l30n
En Circunstancias
Excepcionales:
• En caso de que se deba
acceder a los datos
originales contenidos en
un ordenador o dispositivo
de almacenamiento, la
persona debe ser
competente en dicha
práctica, explicando la
relevancia y las
implicaciones de sus
acciones.
 Los Delitos

Delitos de alta gravedad: Dentro de los delitos de alta gravedad usando

las tecnologías de la información, se pueden citar delitos que son
también castigados en el mundo no digital, tales como:
 Pornografía Infantil
 Terrorismo (Ciber Terrorismo)
 Extorsiones
 El acoso – bullying-
 Amenazas de muerte

© César Augusto Zárate ( c4m4l30n ) Modulo 9

 Los Delitos

Delitos de baja gravedad: Dentro de los delitos de baja gravedad usando

las tecnologías de la información, se pueden citar delitos que son
causados en el mayor de los casos por técnicas de ataque que están
directamente relacionadas con las ciencias de la computación, tales
como:
 Infecciones de Malware
 Robos de información
 Ataque de negación de servicios (DDOS)
 Phishing
 Hackitivismo
 Acceso No autorizado
 Explotación, scanning, entre otros

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense
Concepto Importante!!!- El principio de Locard: Edmond Locard fue un
criminalista francés, famoso en el tema de la investigación forense y la
criminalística. Teniendo presente que en la época de este investigador, las
tecnologías de la información de nuestros días, eran en ocasiones
impensables, los aportes y principios definidos por este investigador,
pueden sin problemas aplicarse a la investigación y computación forense.
Uno de los principios de locard, descrito como «Principio de intercambio
de Locard», describe lo siguiente:
--El Principio de Locard se suele expresar así: "siempre que dos objetos
entran en contacto transfieren parte del material que incorporan al otro
objeto". El principio ha permitido obtener indicios relevantes en
numerosos lugares, desde huellas en el barro o sus restos en neumáticos
y calzado, hasta huellas dactilares o restos en las uñas --

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

Concepto Importante!!!- El principio de Locard:

Otras frases o criterios presentados por este famoso criminalista francés
son:
 Escribir la historia de la identificación, es escribir la historia de la
criminología
 Los restos microscópicos que cubren nuestra ropa, y nuestros cuerpos,
son testigos fieles, mudos y seguros de nuestros movimientos y de
nuestros encuentros.
 Es imposible que un criminal actúe, especialmente en la tensión de la
acción criminal, sin dejar rastros de su presencia.

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

Cuestionamientos y respuestas que deben de tenerse presente en un

análisis forense: En el desarrollo de un análisis forense, soportados en
alguna incidencia o delito relacionado con las tecnologías de la
información, es altamente importante que el investigador forense
cuestione y responda frente a lo siguiente:
 Que es lo que se ha presentado
 En que momento se ha presentado el incidente
 Validar daños y modificaciones al sistema
 Que metodologías o técnicas de ataque se han usado
 Quien ha sido el sujeto o la entidad que ha realizado la acción y/o
ataque
 Motivaciones del atacante o de la entidad que ha realizado la acción

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

Ciclo básico de un análisis forense aplicado a las tecnologías de la

información: Teniendo presente que este modulo cubre aspectos básicos
y fundamentos de la computación y análisis forense, se propone el
siguiente ciclo básico, para proceder a realizar una prueba de auditoría
del tipo «Análisis Forense» usando las tecnologías de la información.
 Conocimiento del incidente
 Recolección de evidencias
 Asegurando las evidencias (Cadena de custodia)
 Análisis de evidencias
 Presentación de un informe básico

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

Ciclo básico de un análisis forense aplicado a las tecnologías de la

información:
Conocimiento del incidente: el objetivo de esta fase es intentar obtener
la mayor información posible al respecto de las sospechas que se tienen
ante hechos o situaciones especificas, que soporten que se ha realizado,
o se esta realizando una accione ilícita por medios de las tecnologías de la
información. Entre algunos ejemplos de este primer ciclo se encuentran:
 Sospechas de espionaje industrial
 Publicación en fuentes publicas de información privada-Confidencial
 Lentitud en los sistemas
 Empleados descontentos del área de sistemas recién dados de baja en
una empresa

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

Ciclo básico de un análisis forense aplicado a las tecnologías de la

información:
Recolección de evidencias : En esta fase, el analista intentara recolectar la
mayor evidencias posibles, respecto a la incidencia presentada, o que se
presume persiste. Importante tener presente que las evidencias se
buscan, soportadas en un alcance, el cual esta avalado, en la fase uno del
ciclo básico de análisis forense. Entre algunos ejemplos de este segundo
ciclo se encuentran:
 Volcado de memoria, replicas de discos duros
 Recolección de logs de un sistema o aplicación
 Videos en cámaras de vigilancia
 Logs de accesos a sistemas y aplicaciones
 Recolección de trafico de red

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

Ciclo básico de un análisis forense aplicado a las tecnologías de la

información:
Análisis de evidencias : Una vez que se ha logrado recolectar, asegurar y
darle criterios de integridad y cadena de custodia a la evidencia, se debe
de proceder con el tema de análisis, ya que el análisis forense, soportara
parte de lo registrado en el informe, respecto a lo obtenido en el análisis
de las evidencias. Entre algunos ejemplos de este tercer ciclo se
encuentran:
 Direcciones IP
 Herramientas usadas para el ataque
 Procesos y archivos malicioso en el sistema

© César Augusto Zárate ( c4m4l30n

Fundamentos de Informática Forense

Ciclo básico de un análisis forense aplicado a las tecnologías de la

información:
Presentación de un informe básico: Finalmente, y soportado en todo lo
recolectado y analizado en las fases anteriores, el analista forense debe
de presentar un informe, el cual deberá de llevarse ante una entidad
judicial y competente, o ante un comité empresarial designado para el
análisis y seguimiento de alguna incidencia presentada, la cual se
presento usando las tecnologías de la información.

© César Augusto Zárate ( c4m4l30n

Fundamentos de Informática Forense

Ataque en vivo vs Post Mortem.

Análisis Post Mortem
 Dado que el dispositivo que se va a analizar ha sido apagado una o varias
veces, se requiere de la captura de todos los datos del disco duro.
 Se debe de tener un clon exacto, o imagen exacta del disco duro del
dispositivo que se requiere analizar en el proceso de investigación forense.
 Aplicar calculo de HASH con algoritmos como MD5 y SHA (Para discos
duros, y archivos interesantes o sospechosos)
 Se extrae la evidencia y se trabaja en el disco duro (replica) , y no en el
original.
 Tomar fotografías
 Usar guantes especiales para la extracción y manipulación de dispositivos.

© César Augusto Zárate ( c4m4l30n

Fundamentos de Informática Forense

Ataque en vivo vs Post Mortem.

Análisis Post Mortem

 Dado que el dispositivo que se va a analizar ha sido apagado una o Utilizar
bolsas o sobres contra descargas (Electroestáticas)
 Utilizar bolsas o sobres con protección ,o a prueba de caídas.
 Almacenar la información extraída en un lugar seguro
 Garantizar siempre que sea posible la confidencialidad, integridad y
disponibilidad de los datos.
 No almacenar al final del procesos, datos del cliente o de la investigación,
preferiblemente bórrala de forma segura (Steganos Suite)

© César Augusto Zárate ( c4m4l30n ) Modulo 9

Fundamentos de Informática Forense

Ataque en vivo vs Post Mortem.

Análisis Directo (En vivo)

 Dado que el dispositivo que se va a analizar esta encendido, o en producción, hay
que tener presente el tema de lo volátil de la evidencia.
 Si se apaga el equipo de forma no planeada, se pierda evidencia en la memoria
RAM, se pueden aplicar secuencias de comandos al Sistema en el proceso de
apagado o reinicio, servicios de red temporales, temporales, etc.
 El daño, o denegación de servicios a terceras partes que usen el servidor.
 Utilizar herramientas especificas, que sean lo menos invasivas posibles. Evitar uso
de herramientas que requieran de instalación, y de paquetes y/o servicios de red
adicionales. Usar herramientas ejecutables, en lo posible desde la línea de
comandos y no gráficas (desde una USB o similar)
 Reportar de forma minuciosa toda operación o actividad en el sistema.

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

Ataque en vivo vs Post Mortem.

Análisis Directo (En vivo)

 El dump –Volcado de la memoria. (Random Access Memory (RAM) )

 Es una de las pruebas mas representativas para análisis directo (en vivo). Y
consiste en obtener una copia de los procesos y los datos que residen
actualmente-de forma temporal en la memoria RAM del sistema. Algunas
recomendaciones para obtener un volcado de memoria son:

 Utilizar una herramienta adecuada , reconocida y aceptada (Línea de

comandos).
 Ejecutar la herramienta en un dispositivo externo o interno.
 Documentar bien el proceso de volcado de memoria

© César Augusto Zárate ( c4m4l30n)

Fundamentos de Informática Forense

Ataque en vivo vs Post Mortem.

Análisis Directo (En vivo): Que se puede Obtener??

 Los procesos en ejecución en un instantánea en el tiempo.

 Archivos abiertos, direcciones IP, puertos abiertos y usados, conexiones de red.
 Unidades de red compartidas, permisos
 Usuarios activos
 Shell remotas
 Conexiones remotas tipo VNC, RDP, entre otros
 Archivos que tienen aplicado algún tipo de procesos de cifrado. En ciertas
ocasiones, si el sistema esta apagado, se dificulta el proceso de descifrado.

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense

Otras maneras de adquisición de evidencias.

Hasta el momento los procedimientos mas representativos que se han
mencionado para la recolección de evidencias son:
 Generar una imagen (replica) exacta de un disco duro
 Realizar un volcado de memoria
Pero existen otras que son complementarias y muy utilizadas, como:
 Recuperación de datos perdidos
 Análisis de logs y bitácoras
 Análisis de datos y archivos temporales

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:

TALLER DE PRACTICA

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:
Extracción –Recolección de evidencias.
Herramientas (Tools)- CAINE:
http://www.caine-live.net/

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:
Extracción –Recolección de evidencias.
Herramientas (Tools) - Caine: CAINE (Computer Aided INvestigative
Environment) : Es una versión Italiana del sistema operativo Linux, la cual
se especializa en el tema de Investigación forense en ambitos digitales. El
líder de proyectos de esta herramienta, es: Nanni Bassetti, quien ha
dictado muchas conferencias y cursos de informática forense, soportado
en esta versión de linux.
Caine ofrece al usuario final una cantidad de herramientas para todo el
ciclo de la investigación forense en ámbitos digitales, las cuales están
ordenadas.
Caine de forma analógica, puede ser un Kali Linux, pero para temas de
investigación forense digital, y no para Pantesting.

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:
Extracción –Recolección de evidencias.
Herramientas (Tools)- SAMURI PALADIN

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:

Prueba de Concepto 1: Usando Volatility Framework para identificar las

conexiones activas de red, las cuales estan presentes al momento que se
tomo la muestra de la memoria RAM, mediante el volcado de memoria.
Para poder realizar esta tarea, se debe de digitar el siguiente comando
desde la herramienta Volatility:
python vol.py connections -f memimage.dd

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:

Análisis Prueba de Concepto 1: Según los resultados suministrados por la

herramienta Volatility , en lo que respecta a buscar conexiones activas, se
tiene lo siguiente:

 La dirección IP del equipo victima es: 192.168.49.144

 Hay algunas conexiones que llaman la atención, tales como las
asociadas al puerto 6000

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:

Prueba de Concepto 2: Usando Volatility Framework para identificar los

procesos que se están ejecutando en el sistema, los cuales están
presentes al momento que se tomo la muestra de la memoria RAM,
mediante el volcado de memoria. Para poder realizar esta tarea, se debe
de digitar el siguiente comando desde la herramienta Volatility:
python vol.py pslist -f memimage.dd

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:

Análisis Prueba de Concepto 2: Según los resultados suministrados por la

herramienta Volatility , en lo que respecta a identificar los procesos
activos en el sistema que ha sido atacado, se tiene lo siguiente:
 Se observan algunos procesos sospechoso, como hot_pics.exe, y
nc.exe, lo cual puede corresponder a infecciones de malware, puertas
traseras, o conexiones no autorizadas.

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:

Prueba de Concepto 3: Usando Volatility Framework para identificar las

DLLs cargadas por un proceso que se están ejecutando en el sistema, los
cuales están presentes al momento que se tomo la muestra de la
memoria RAM, mediante el volcado de memoria. Para poder realizar esta
tarea, se debe de digitar el siguiente comando desde la herramienta
Volatility:
python vol.py dlllist -p 1124 -f memimage.dd

Donde 1124 corresponde a un proceso identificado en la prueba de

concepto anterior, el cual corresponde a un procesos sospechosos
llamado hot_pics.exe

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:

Prueba de Concepto 3:

© César Augusto Zárate ( c4m4l30n )

Fundamentos de Informática Forense:

Análisis Prueba de Concepto 3: Según los resultados suministrados por la

herramienta Volatility , en lo que respecta a identificar los DLL y/o
archivos relacionados con la ejecución de un proceso activos en el
sistema que ha sido atacado, se tiene lo siguiente:
 Se observa que el proceso esta asociado a la ejecución de archivo
ejecutable llamado hot_pics.exe, el cual se encuentra localizado en el
escritorio del perfil del usuario llamado BOB.
 Se encuentra relación de este proceso, con una dll sospechosa llamada
metsrv.dll, el cual esta relacionada con la herramienta metasploit, en
lo que respecta a colocar en el equipo victima la herramienta
meterpreter como un servicio.

© César Augusto Zárate ( c4m4l30n )

César Augusto Zárate ( c4m4l30n) http:swatsecurityit.com