Actividad Evaluativa Eje 1

José Luis Rubiano Mendoza

Agosto 2020.

Fundación Universitaria del Areandina.

Bogotá.
Informática Forense
 1

Enunciado de la Actividad

Situación propuesta

La empresa Pepito Pérez, el 18 de noviembre 2018, fue objeto de un ataque de

Denegación de servicios, ocasionando, que su servidor principal quedará fuera de línea,
al llegar el gerente y sus empleados encontraron todo aparentemente normal, solo vieron
algo curioso, el computador del gerente está encendido, y el gerente recordaba que lo
había apagado, además habían unos papeles con letra que no era de él en su escritorio,
cuando fueron a revisar el servidor, este estaba completamente inaccesible, preocupados
por lo ocurrido deciden llamar a un investigador forense.

Requisitos para la tarea:

• Documentar el proceso de revisión de la escena del crimen.

• Aplicar conceptos vistos en el referente de pensamiento.
• Definir si es esta escena pertenece un análisis directo o un análisis Post-mortem.

Instrucciones:

• Realizar la lectura del eje de pensamiento referente a la metodología para una

investigación forense.
• Imagínese la escena del crimen propuesta y realice un documento con las acciones que
como investigador debería realizar en la fase de reconocimiento de la escena del crimen.
• En el informe debe explicar qué tipo de análisis se debe realizar, y por qué.
• Máximo 2 hojas donde se describa detalladamente cada paso.
 2

Desarrollo de la actividad

Ya que los dispositivos estaban encendidos se determina que se debe realizar un análisis
directo

Inicialmente se debe dejar intacta la zona del crimen, ya que si personas X ingresan al
lugar pueden borrar o destruir las posibles pruebas o evidencias del suceso.

Lo segundo hacer una toma fotográfica del lugar de la escena

y de esta forma hacer una búsqueda detallada de las pruebas y evidencias tanto físicas
como virtuales, una importante es el papel dejado en el escritorio del gerente.

Si el lugar tiene cámaras de seguridad, se deben revisar para poder determinar o al menos
dar un indicio de quien estuvo en la oficina a la hora del ataque y por consiguiente quien
dejo el papel, si por el contrario no las hay, en cualquier de los casos se debe realizar una
búsqueda detallada de evidencias en la escena donde ocurrieron los hechos.

Otra prueba es identificar qué tipo de ataque sufrió la víctima y determinar cómo se pudo
vulnerar la seguridad de la empresa frente a esta amenaza.

También se debe empezar a revisar los dispositivos afectados, el servidor está en

condiciones inaccesibles se podría determinar que está en estado de colapso, debemos
revisar si es posible el servidor o los computadores afectados en busca de alguna
evidencia del atacante un correo electrónico, documentos, Historiales de acceso, notas,
medios extraíbles (usb), etc.

Una vez se tengan las evidencias necesarias se deben empezar a organizar las posibles
hipótesis del hecho y que ocurrió en la escena del crimen.

Al comprobar que el papel en el escritorio del gerente no pertenecía a él, podemos

determinar que alguien estuvo en la oficina y realizo el ataque directamente en el lugar.

Podríamos manejar dos hipótesis iniciales de cómo pudo ingresar a la oficina el atacante,
si bien necesito de ayuda de algún empleado del lugar o también si violento la seguridad
de la empresa para poder entrar y tener acceso computador de la víctima.
 3

Una prueba importante es el papel en la oficina del gerente, se deben hacer análisis
profundos para determinar si contienen datos del atacante, además de debe revisar su
contenido, si se relaciona con el ataque.

También se debe consultar con el gerente cuales empleados tienen acceso a las
instalaciones para empezar a determinar responsabilidades tanto para el personal de
seguridad de la red de la empresa como para aquellos que tienen privilegios de ingresar a
esa oficina e iniciar una investigación a cada uno.
 4

Conclusiones

Para concluir cuando un sistema sufre un ataque de cualquier tipo y los dispositivos
involucrados permanecen encendidos podemos realizar un análisis directo, mientras que,
si ocurre lo contrario y los equipos involucrados se apagan, este se debe realizar un
análisis post-mortem.

En conclusión, se debe tener gente experta en la zona del crimen, ya que si una persona
normal o sin conocimientos previos, ingresa al lugar puede destruir pruebas o evidencias
que pueden ayudar al investigador a encontrar al culpable.
 5

Lista de referencias

¿Qué es un ataque DDoS? - OVH. (2020).

Retrieved 15 August 2020, from https://www.ovh.com/world/es/anti-ddos/principio-anti-
ddos.xml

Pasos del computo forense - Informatica forense. (2020).

Retrieved 15 August 2020, from
https://sites.google.com/site/ivanpintoinformaticaforense/pasos-del-computo-forense

Lopez, Luis. (2017). Aprendizajes Adquiridos Informática Forense.

https://digitk.areandina.edu.co/ Recuperado de
https://digitk.areandina.edu.co/handle/areandina/1947