Actividad evaluativa – Taller Eje 4

PRESENTADO POR:
Nestor Torres Mazuera
Cesar Rodriguez Montero

GRUPO 02

PROFESOR

Juan Jose Cruz Garzon

CURSO

Informatica Forense

MODALIDAD
Virtual
 Tabla de Contenido

Introducción.........................................................................................................................

Solución del Taller...............................................................................................................

Conclusión...........................................................................................................................

Bibliografía...........................................................................................................................
 INTRODUCCIÓN

La informática forense es la ciencia de adquirir, preservar, obtener y presentar

datos que han sido procesados electrónicamente y guardados en soportes
informáticos. Se trata de una práctica cada vez más habitual debido al uso que
actualmente todos realizamos de las nuevas tecnologías, y que permite resolver
casos policiales o judiciales.

Tanto las fuerzas y cuerpos de seguridad del Estado como los peritos informáticos
forenses utilizan herramientas y procedimientos específicos para la recolección de
información de dispositivos que van desde ordenadores o teléfonos móviles hasta
servidores de correo electrónico, por ejemplo.

Aunque un delito no sea informático, sí que hay pruebas digitales, y puesto que
todas las actividades que se realizan con un dispositivo (de forma manual o
automática) dejan una prueba, es posible que la misma sea analizada junto con el
resto de pruebas de un caso.

Envíos de correos electrónicos, direcciones IP, localizaciones geográficas,

accesos a sistemas, historiales de navegación, chats, borrado de datos y un sinfín
de información es analizada para investigar delitos contra la propiedad intelectual,
espionaje industrial, vulneración de la intimidad o robo de datos, entre otros.
 SOLUCIÓN DEL TALLER

1- De forma individual reflexiones y responda: usted, como responsable de

seguridad, ha detectado que se ha producido una intrusión en uno de los
equipos de la organización.

- La intrusión ha provocado el borrado de varios archivos importantes y, por ello,

tiene previsto realizar un análisis forense para localizar al atacante y tomar
medidas judiciales contra él. ¿Qué tipo de ataque se ha producido y qué
información deberá recopilar para reconstruir su secuencia temporal? ¿Cómo
realizar el análisis?

R/ Al haberse producido borrado de información debido al ataque se deduce que

se trata de un ataque activo (los ataques pasivos no modifican la información del
equipo afectado, simplemente la “espían”). Para reconstruir su secuencia temporal
y conocer el origen del ataque debería recopilarse la información siguiente de los
ficheros eliminados y de los sospechosos.
 Tamaño y tipo de los ficheros.
 Usuarios y grupos a los que pertenecen los ficheros.
 Permisos de acceso.
 Detección de los ficheros eliminados.
 Trazado de ruta completo.
 Marcas de tiempo.

The forensic toolkit

En este caso the forense toolkit es una aplicación de software libre

diseñado para utilizarse en Microsoft Windows, con esta herramienta se
puede recopilar información sobre los ataques y dispone de una serie de
funcionalidades que permiten la generación de informes y estadísticas del
sistema de archivos que se pretende investigar.

The sleuth kit y autopsy

Se trata de un conjunto de herramientas forenses diseñadas para sistemas

operativos UNIX/Linux y Microsoft Windows cuya función principal es el
 análisis de datos de evidencias generadas con unidades de disco. También
permite acceder a archivos eliminados, genera la línea temporal de
actividad de los archivos y crea informes y notas del investigador entre
otras muchas funcionalidades.

En el caso de que se produzca un problema susceptible de análisis en una

compañía es el personal especializado en tecnología el que suele ser el que
avisa de que ha detectado un funcionamiento anómalo, como pueden ser cuentas
bloqueadas, desaparición de ficheros con información críticas, alarmas de
sistemas de seguridad, por mencionar algunos ejemplos. Aunque depende
mucho del tipo de análisis de la información, del delito y del tiempo del que se
dispone para recolectar datos, es muy importante determinar cuáles son los
dispositivos que pueden estar relacionados con el caso que se examina; aunque
puede ocurrir que durante el proceso aparezcan nuevos datos o dispositivos que
tengan que ser analizados.

Una vez que se tienen identificados los dispositivos, es primordial recolectar

aquellas pruebas en orden, puesto que existe información más volátil que otra y
puede desaparecer, por ejemplo, al apagar un ordenador.

Una vez recogida la información más volátil se realizan duplicados del

contenido de los dispositivos (discos duros) para así mantener la integridad de
la evidencia y la cadena de custodia de los mismos.

Este hecho es de vital importancia, ya que mantener la cadena de custodia y la

integridad de la prueba asegura que no se han alterado o manipulado los
datos almacenados, puesto que si no se puede garantizar esto, es muy probable
que durante el juicio el análisis quede invalidado.

Después de realizar las copias necesarias, se utilizarán distintas técnicas de

análisis forense dependiendo de la naturaleza del caso para recuperar ficheros,
analizar el uso de un dispositivo por parte de un usuario, conexiones con otros
dispositivos, tiempos de uso, etc. Además, es importante identificar la
información accedida y extraída de los dispositivos, ya que puede ser un
aspecto crucial a la hora de una investigación.
Los análisis siempre se realizan a las copias realizadas y no directamente en
los dispositivos o los datos recogidos, puesto que se alterarían y previsiblemente
no serían aceptados como prueba en un juicio. De hecho, una vez realizada la
copia, esos dispositivos deberían de quedar inalterables y en desuso.

Una vez analizadas todas las pruebas, se elabora un informe en el que se

explica la información encontrada de una forma objetiva y clara para así ayudar a
entender qué ha pasado al personal no técnico, como pueden ser jueces,
abogados, fiscales, etc.
 CONCLUSIONES

Para concluir, es importante mencionar que, si bien el proceso de análisis forense

se aplica principalmente en investigaciones, en las cuales se desea encontrar
evidencia que soporte una hipótesis, las herramientas disponibles son cada vez
más accesibles para el usuario final. Así, es posible utilizar herramientas para
realizar algunas tareas específicas, como la recuperación de archivos eliminados,
en forma sencilla. Para este proceso de análisis forense existen diversas suites
con capacidades integradas de recuperación de archivos, visores de correos
electrónicos, imágenes y documentos ofimáticos. También pueden utilizarse
herramientas específicas para cada tarea, las cuales pueden ser gratuitas o
pagas.

BIBLIOFRAFÍA

https://accessdata.com/products-services/forensic-toolkit-ftk

http://www.sleuthkit.org/