Una empresa bancaria contiene información de todos sus clientes, números de

cuenta, de tarjetas de créditos, información sobre las transacciones dentro de una

base de datos que se encuentra conectada con los computadores de la sede
principal de la empresa. El funcionamiento de esta empresa se ve afectado
cuando un día encuentran un comportamiento anormal en la red que conecta a las
bases de datos con los computadores de la empresa; se dan cuenta de esto
porque empiezan a observar inmensas cantidades de información de la base de
datos dirigiéndose hacia un sistema remoto a través de la red. Seguidamente
hacen un análisis del tráfico en la red y las conexiones de los dispositivos remotos,
se encuentran con que el firewall de los dispositivos tenía una vulnerabilidad,
además de una serie de archivos con origen desconocido distribuidos en varios
computadores de la empresa. Hicieron un análisis a la red, y a todos los
dispositivos buscando muestras y evidencia que permita entender el incidente y
darle una solución, pero se encuentran con que fue usado un tipo de software
malicioso, ya que lo encuentran en varios dispositivos que estaban conectados a
la red. Así mismo buscan la IP del sistema remoto que hizo la conexión con el
servidor, y se dieron cuenta que pertenecía a un extrabajador de la empresa, el
cual conocía previamente de la vulnerabilidad del firewall y la explotó, mediante la
instalación de un malware, encargado de encriptar y robar la información de las
cuentas bancarias de la empresa.
Descubrir las señales del ataque: Primero es necesario identificar la evidencia
usando herramientas que no afecten el timestamp o modifiquen los archivos del
computador, o computadores. Para ello se hace uso del junmpkit, el cual se
compone de un computador con sistema operativo Windows, además de contar
con máquinas virtuales en Linux que poseen todo el software necesario para hacer
copias de imágenes, verificar los procesos de los puertos, verificar malware entre
otras cosas, también se cuenta con un disco duro esterilizado, y de tamaño
suficiente para hacer copias bit a bit. Como ya se sabe, la empresa detectó un
comportamiento extraño en la red, por lo que se procede a la recopilación de
evidencias.
Recopilación de evidencias: Debido a que es una empresa bancaria, necesita
tener operando sus sistemas rápidamente, pero ya que no se conocen que datos
han sido robados, ni la confidencialidad ni importancia de estos, se procede a
realizar una investigación forense detallada. Se llevará un cuaderno para anotar
todas las operaciones que se realicen sobre el sistema o sistemas atacados. Se
hace una anotación de los números de serie y de los componentes de los equipos
afectados, junto con su sistema operativo, direcciones IP y fotos de estos. Debido
a que el ataque no se expandió por todos los equipos de la empresa, decidimos
hacer un análisis en vivo, copiando bit a bit, la información relacionada con los
registros y contenidos de la caché, volcado de los contenidos de la memoria ram,
estado de los procesos en ejecución y el estado de las conexiones de red, tablas
de rutas, y por supuesto, los dispositivos de almacenamiento del computador por
donde se cree el atacante tuvo acceso a los servidores. Nuevamente cabe
recalcar la necesidad de realizar imágenes de los dispositivos de almacenamiento
del computador y de la generación del Hash mediante MD5 de los archivos
copiados, sin restar importancia a la necesidad de la presencia de otra persona
que valide, observe y de veracidad de los procedimientos que se están realizando.
Preservación de la evidencia: Es necesario documentar de forma clara cómo fue
preservada la evidencia tras la recopilación, en este caso, se añadieron etiquetas
a los discos duros utilizados para almacenar las imágenes del computador
afectado, de igual forma, se realizó el etiquetado al disco duro que almacena los
registros y conexiones a la red realizados. Cabe mencionar que se realizaron dos
copias de la evidencia original, cada una incluyendo el hash que permite
garantizar la integridad de los dispositivos de almacenamiento. A cada una se le
agregó una etiqueta distintiva para diferenciar una copia de la otra, una se llama
“Copia evidencia original”, y la otra “Copia evidencia de prueba”, junto con la
etiqueta (relacionada a cada copia) se escribió la fecha, hora, lugar de donde fue
obtenida, incluyendo la verificación del hash correspondiente. Así mismo el equipo
que contiene la evidencia original, fue almacenado, etiquetado, empacado, y
guardado en una caja fuerte propia del banco, con el fin de que nadie tenga
acceso a este dispositivo y pueda afectar a la evidencia o a los datos
recolectados. Mantener la cadena de custodia asegura la legitimidad de la
evidencia y de las pruebas que posteriormente pueden ser presentadas ante un
juez, por esto, se lleva un registro en un archivo en Word, con las firmas, hora,
lugar, persona, ID de quién está haciendo uso de la evidencia, así mismo de quien
se encarga de la custodia de la evidencia, mencionando el tiempo que estuvo
encargado de esta, y donde la almacenó. En este caso, se contactó con el equipo
de respuesta a incidentes y una organización estatal para poder llevar a cabo la
cadena de custodia, la veracidad y legitimidad de la evidencia.
Análisis de la evidencia: En esta etapa de la investigación y debido a su
importancia, es necesario establecer y llevar el registro de una línea de tiempo,
donde se exprese explícitamente el orden cronológico del ataque, especificando la
hora en la que se originó, cuando terminó (si es que ha acabado), y todos los
datos obtenidos que permitan la reconstrucción del incidente, conocer quién lo
provocó, cuál era el objetivo, cuáles son los daños ocasionados por este incidente.
- Como menciona la guía, antes de iniciar con el proceso de análisis es
recomendable usar dos estaciones de trabajo, donde cada una contiene
dos discos duros; en la estación uno, un disco duro contiene el sistema
operativo, y el otro contiene la imagen llamada “Copia evidencia original”,
esta estación servirá para hacer un estudio de las evidencias. Mientras que
la segunda estación, tendrá el mismo sistema operativo del equipo atacado
junto con la segunda imagen llamada “Copia evidencia de prueba”, esta
estación, funcionará como conejillo de indias, y es aquí donde se mantiene
la estructura de las particiones y ficheros de discos duros, con el fin de
 realizar pruebas en esta estación y verificar las hipótesis que van surgiendo
sobre el incidente.
Seguidamente se hace una reconstrucción de la secuencia temporal del ataque,
mediante los datos que se van obteniendo de la estación 1, verificando las marcas
de tiempo, los permisos de acceso, los archivos borrados. Gracias a lo que se
sabe, el investigador procede a verificar los procesos que se estaban ejecutando
al momento del ataque, junto con los archivos involucrados que contienen el
software malicioso para la encriptación y extracción de la información. Además,
mediante un comando de Linux se puede observar las direcciones del acceso FTP
que intervino con el computador atacado y seguidamente procedió a robar la
información del servidor.
Después de un análisis exhaustivo, determinan que el atacante uso malware
accediendo a los servidores de la empresa, el atacante lo instaló en un
computador de la empresa, al cual tuvo acceso gracias a una pequeña
vulnerabilidad en el firewall del computador. El malware pudo identificarse gracias
a una búsqueda exhaustiva en una pagina web que contenía recopilación de
información relacionada al malware usado actualmente para robar y encriptar
información.
Gracias a una herramienta llamada nmap, el investigador obtuvo la dirección IP
del atacante y concluyó posteriormente que la IP pertenecía a un extrabajador de
la empresa con el nombre de Andrés García. Una vez encontrado el culpable se
procede a realizar el informe respectivo para presentarlo a las autoridades
correspondientes, así mismo se hace una solicitud formal, basados en las
evidencias, al ente estatal responsable de delitos informáticos, pidiendo permiso
para acceder y realizar una copia de seguridad bit a bit del dispositivo usado para
la conexión al computador de la empresa, además de solicitar acceso a los
dispositivos donde se almacenó parte de la información que se alcanzó a robar de
la empresa.
A manera de aprendizaje, se analizan los puntos débiles en materia de seguridad,
permitiendo constatar la falta de seguridad en el firewall, y la facilidad del malware
para acceder a la base de datos, haciendo claro la necesidad de implementar
antivirus de mayor seguridad.
Por último, se realiza el informe Técnico y el informe ejecutivo, en el caso del
primero, se describe a profundidad la metodología, técnicas, hallazgos, las
conclusiones, recomendaciones especificas y referencias utilizadas por el equipo
forense para solucionar este incidente. Para el segundo informe, se hace un
resumen de todo el análisis, pero con una terminología común, explicando los
efectos del incidente en la parte administrativa, recursos humanos, y las
recomendaciones correspondientes para reaccionar y prevenir incidentes
informáticos.