INTRODUCCIÓN AL ANÁLISIS FORENSE

CONCEPTOS Y TERMINOLOGÍA: Organizar un equipo de respuesta a

incidentes requiere establecer, entre otros aspectos, unos procedimientos y métodos de
análisis que nos permitan identificar, recuperar, reconstruir y analizar evidencias de lo
ocurrido y una de las ciencias que cubren estas necesidades es la Ciencia Forense, la
cual nos aporta las técnicas y principios necesarios para realizar nuestra investigación,
ya sea criminal o no. Si llevamos al plano de los sistemas informáticos a la Ciencia
Forense, entonces hablamos de Computer Forensics, o para nosotros Análisis Forense
Digital. Esta disciplina es relativamente nueva y se aplica tanto para la investigación de
delitos “tradicionales”, (homicidios, fraude financiero, narcotráfico, terrorismo, etc.),
como para los propiamente relacionados con las tecnologías de la información y las
comunicaciones, entre los que destacan piratería de software y comunicaciones,
distribución de pornografía infantil, intrusiones y “hacking” en organizaciones, spam,
phishing, etc. De manera más formal podemos definir el Análisis Forense Digital como
un conjunto de principios y técnicas que comprende el proceso de adquisición,
conservación, documentación, análisis y presentación de evidencias digitales y que
llegado el caso puedan ser aceptadas legalmente en un proceso judicial. Por evidencia
digital se entiende al conjunto de datos en formato binario, esto es, comprende los
ficheros, su contenido o referencias a éstos (metadatos) que se encuentren en los
soportes físicos o lógicos del sistema atacado.
 Dentro del Análisis Forense Digital (en adelante AFD), podemos destacar las
siguientes fases, que serán desarrolladas con más detalle a lo largo de este documento:

1ª. Identificación del incidente.

2ª. Recopilación de evidencias.
3ª. Preservación de la evidencia.
4ª. Análisis de la evidencia.
5ª. Documentación y presentación de los resultados.

Por otro lado, hay que definir otro concepto importante, el de Incidente de Seguridad
Informática, pues éste ha evolucionado en los últimos tiempos. En principio un
incidente de este tipo se entendía como cualquier evento anómalo que pudiese afectar a
la seguridad de la información, como podría ser una pérdida de disponibilidad, su
integridad o confidencialidad, etc. Pero la aparición de nuevos tipos de incidentes ha
hecho que este concepto haya ampliado su definición. Actualmente un Incidente de
Seguridad Informática puede considerarse como una violación o intento de violación de
la política de seguridad, de la política de uso adecuado o de las buenas prácticas de
utilización de los sistemas informáticos. Tras esta definición cabe ahora una
categorización de dichos incidentes que nos aporte una base para su valoración y nos dé
una visión de cómo afrontarlos. Aunque se han propuesto varios tipos de clasificaciones
sobre taxonomías de incidentes, no existe ningún consenso al respecto y ni mucho
menos sobre cuál de ellas es la más acertada. La que se propone a continuación tiene la
finalidad de ayudar a una mejor comprensión de apartados siguientes del documento:
- Incidentes de Denegación de Servicios (DoS): Son un tipo de incidentes
cuya finalidad es obstaculizar, dañar o impedir el acceso a redes, sistemas o
aplicaciones mediante el agotamiento de sus recursos.
- Incidentes de código malicioso: Cualquier tipo de código ya sea, virus,
gusano, “caballo de Troya”, que pueda ejecutarse en un sistema e infectarlo.
- Incidentes de acceso no autorizado: Se produce cuando un usuario o
aplicación accede, por medio de hardware o software, sin los permisos
adecuados a un sistema, a una red, a una aplicación o los datos.
- Incidentes por uso inapropiado: Se dan cuando los usuarios se “saltan” la
política de uso apropiado de los sistemas (por ejemplo, ejecutando
aplicaciones P2P en la red interna de la organización para la descarga de
música).
 - Incidente múltiple: Se produce cuando el incidente implica varios de los
tipos anteriores.
La mayoría de los incidentes que se dan en la realidad, pueden enmarcarse en varias
de las categorías expuestas, por lo que una buena forma de identificarlos es por el
mecanismo de transmisión empleada. Por ejemplo, un virus que crea en el sistema
atacado una puerta trasera debe ser manejado como un incidente de código malicioso y
no como un acceso no autorizado, ya que el virus es el mecanismo de transmisión.

Objetivos de análisis forense:

- Recrear lo que ha ocurrido en un dispositivo digital durante el incidente de

seguridad.
- Analizar las incidencias para impedir que se repitan en el futuro.
- Se sabe cómo se produjo el incidente de seguridad.
- Se conocen las circunstancias bajo las que ocurrió.
- Se conoce la identidad de los atacantes.
- Se sabe cuando ocurrió el incidente.
- Se conocen los objetivos de los atacantes.
- Se tienen las evidencias que lo demuestran.
- Se ha destruido totalmente cualquier información duplicada para realizar la
investigación.
- Destrucción de la evidencia: El principal objetivo de esta técnica es evitar
que la evidencia sea encontrada por los investigadores y en caso de que estos
la encuentren, disminuir sustancialmente el uso que se le puede dar a dicha
evidencia en la investigación formal. Este método no busca que la evidencia
sea inaccesible si no que sea irrecuperable. Esto implica que se deben
destruir, desmantelar o en su defecto modificar todas las pruebas útiles para
una investigación (Harris, 2006). Así como en la vida real cuando ocurre un
crimen y el criminal quiere destruir todo rastro o evidencia se vale de una
serie de herramientas que le facilitan este objetivo. Existen dos niveles de
destrucción de la evidencia:
Nivel Físico: A través de campos magnéticos.
Nivel Lógico: Busca reinicializar el medio, cambiar la composición de los
datos, sobrescribir los datos o eliminar la referencia a los datos. Existe una
variedad de herramientas para la destrucción de evidencia de las cuales se
pueden valer los intrusos para realizar este método anti-forense. Unos
ejemplos de herramientas son: Wipe, Shred, PGP Secure Delete, Evidence
Eliminator y Sswap.
- Ocultamiento de la Evidencia: Este método tiene como principal objetivo
hacer inaccesible la evidencia para el investigador. No busca manipular,
destruir o modificar la evidencia sino hacerla lo menos visible para el
investigador. Esta técnica puede llegar a ser muy eficiente de ser bien
ejecutada, pero conlleva muchos riesgos para el atacante o intruso, puesto
 que, al no modificar la evidencia de ser encontrada puede ser válida en una
investigación formal y por lo tanto servir para la incriminación e
identificación del autor de dicho ataque. Este método puede valerse de las
limitaciones del software forense y del investigador atacando sus puntos
ciegos o no usuales de búsqueda de alguna anomalía. Una de las herramientas
utilizadas por los atacantes es la estenografía la cual versa sobre técnicas que
permiten la ocultación de mensajes u objetos, dentro de otros, llamados
portadores, de modo que no se perciba su existencia. En el mercado se
pueden encontrar muchos instrumentos fáciles de usar, de bajo costo que
pueden ayudar a realizar esta técnica anti-forense, como por ejemplo
StegoArchive.
- Eliminación de la fuente de la evidencia:
Este método tiene como principal objetivo neutralizar la fuente de la
evidencia,
por lo que no es necesario destruir las pruebas puesto que no han llegado a ser
creadas. Por ejemplo, en el mundo real cuando un criminal utiliza guantes de
goma para utilizar un arma lo que está haciendo es neutralizando y evitando
dejar huellas dactilares en el arma. Así mismo en el mundo digital esta
neutralización de las fuentes de la evidencia aplica. Una de las acciones que
los atacantes pueden llevar a cabo para realizar este método anti-forense es la
desactivación de los log de auditoría del sistema que
esté atacando.
- Falsificación de la evidencia:
Este método busca engañar y crear falsas pruebas para los investigadores
forenses logrando así cubrir a el verdadero autor, incriminando a terceros y
por
consiguiente desviar la investigación con lo cual sería imposible resolverla de
manera correcta. El ejercicio de este método se vale en una edición selectiva
de las pruebas creando evidencias incorrectas y falsas que corrompen y dañan
la validez de dichas pruebas en una investigación forense formal, por lo cual
no podrán ser tomadas en cuenta como evidencias.
Herramientas anti forenses:
A. TÉCNICAS DE BORRADO O DESTRUCCIÓN DE LA INFORMACIÓN
 El fin de esta técnica es imposibilitar la recuperación de las evidencias ya sea
por el borrado de archivos o particiones del disco. Existen muchas aplicaciones
que realizan estas tareas y son capaces de ejecutarse en la mayoría de los
sistemas operativos. Algunas se basan en el Algoritmo de Gutmann, el cual
detalla las operaciones para que un archivo o directorio sea borrado en forma
segura; estas aplicaciones son generalmente de escaso tamaño y portables, es
decir que no precisan una instalación.

B. TÉCNICAS DE OCULTACIÓN DE LA INFORMACIÓN

Este método tiene como principal objetivo hacer invisible la evidencia para el
analista. De este modo, los atacantes ocultan mensajes u objetos dentro de otros
archivos, de tal forma que no se perciba su existencia. Esta técnica, llamada
estenografía, puede llegar a ser muy eficiente de ser bien ejecutada, pero
conlleva muchos riesgos para el atacante o intruso. Al no modificar la evidencia,
de ser encontrada puede ser válida en una investigación formal y por lo tanto
servir para la incriminación e identificación del autor de dicho ataque.
C. TÉCNICAS DE SOBREESCRITURA DE METADATOS
Este grupo de técnicas tiene como fin engañar, creando falsas pruebas para
cubrir al verdadero autor, incriminando a terceros y por consiguiente desviando
la investigación. Si el analista descubre cuándo un atacante tuvo acceso a un
sistema Windows, Mac o Unix, con frecuencia es posible determinar a qué
archivos o directorios accedió. Utilizando una línea de tiempo para indicar las
 acciones y clasificándolas en orden cronológico, el analista tendría un esquema
de lo que fue ocurriendo en el sistema. Aunque un atacante podría borrar los
contenidos de los medios de comunicación, esta acción podría atraer aún más la
atención. Otra estrategia bastante utilizada es cuando el atacante oculta sus pistas
al sobrescribir los propios tiempos de acceso, de manera que la línea de tiempo
no pueda construirse de forma fiable. Existen varias herramientas comúnmente
utilizadas con este fin, como ExifTool o Metasploit que en conjunto con
Meterpeter permiten borrar o cambiar estos parámetros. Veamos un ejemplo:

Como se puede observar en la imagen, tenemos el archivo “líneadetiempo.txt”

que mediante el comando timestomp –v nos indica atributos de creación, último
acceso y modificación.
D. TÉCNICAS DE CIFRADO DE LA INFORMACIÓN
Estas técnicas tienen como objetivo dificultar la lectura de datos para los
analistas. Esta información puede estar vinculada a un directorio, una aplicación,
una partición o inclusive una comunicación. Veamos algunos ejemplos de estas
técnicas en los diversos escenarios. Algunas herramientas muy utilizadas para
cifrar archivos o particiones son Truecrypt, Bitlocker o DiskCryptor. Estas
herramientas permiten mantener almacenada de una forma segura la información
que ha sido cifrada, y en teoría solo se podría tener acceso a ella mediante la
clave que, como es lógico, el analista no tendría. Como vemos en la siguiente
imagen, Bitlocker viene preinstalada en las versiones más actuales de Microsoft
Windows masificando su uso día a día.
Cuando hablamos de códigos maliciosos, normalmente los malware se
encuentran empaquetados o comprimidos con el fin de dificultar el estudio y
comprensión de su funcionamiento. Existen muchas aplicaciones utilizadas con
tal fin, como es el caso de UPX, PEcompact o Themida; por otra parte, también
existen mecanismos antiVM que se encargan de matar la aplicación en caso de
que sea ejecutada en un entorno virtualizado con el objetivo de su estudio.