Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BUENAS PRÁCTICAS EN EL
ANÁLISIS FORENSE DE SISTEMAS
DE AUTOMATIZACIÓN Y CONTROL
INDUSTRIAL
Consejos
Alt+flecha izquierda para volver a la vista anterior después de ir a un hipervínculo
Haz click en nuestro icono y visita nuestra web
Patrocinadores del CCI
Platinum
Gold
Silver
Bronze
Primera edición: septiembre 2016
ISBN: 978-84-945412-1-6
Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra queda
rigurosamente prohibida y estará sometida a las sanciones establecidas por la ley. Solamente el autor (Centro de
Ciberseguridad Industrial, www.cci-es.org), puede autorizar la fotocopia o el escaneado de algún fragmento a las
personas que estén interesadas en ello.
El Centro de Ciberseguridad Industrial (CCI) es una organización independiente, sin ánimo de lucro,
cuya misión es impulsar y contribuir a la mejora de la Ciberseguridad Industrial, en un contexto en el que las
organizaciones de sectores como el de fabricación o el energético juegan un papel crítico en la construcción de la
Sociedad actual, como puntales del estado del bienestar.
CCI afronta ese reto mediante el desarrollo de actividades de investigación y análisis, generación de opinión,
elaboración y publicación de estudios y herramientas, e intercambio de información y conocimiento, sobre la influencia,
tanto de las tecnologías, incluidos sus procesos y prácticas, como de los individuos, en lo relativo a los riesgos -y su
gestión- derivados de la integración de los procesos e infraestructuras industriales en el Ciberespacio.
CCI es, hoy, el ecosistema y el punto de encuentro de las entidades -privadas y públicas- y de los profesionales
afectados, preocupados u ocupados de la Ciberseguridad Industrial; y es, asimismo, la referencia hispanohablante
para el intercambio de experiencias y la dinamización de los sectores involucrados en este ámbito.
1 12
CONCEPTOS FUNDAMENTALES
2 26
ANÁLISIS FORENSE EN TECNOLOGÍAS DE OPERACIÓN
3 56
EL INFORME PERICIAL TECNOLÓGICO
4 62
GLOSARIO
5 64
REFERENCIAS Y DIRECCIONES DE INTERÉS
6 68
AUTORES+COLABORADORES
0
Prólogo
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 9
Conviene recordar que el término “forense” tiene
su origen en el posesivo latino “forensis”, es decir,
“perteneciente al foro o a la plaza pública”, lugar
donde, en la época romana, se celebraban los juicios.
Unos juicios a los que, hoy, dedicamos unos nuevos
espacios, los palacios de justicia; pero en los que,
como entonces, tiene voz quien ha de asistir en
el marco de la actuación judicial por su pericia en
disciplinas como, tradicionalmente, la Medicina Legal;
o, en tiempos más recientes, la Informática. Se trata,
como ya habrá adivinado, de la función del “experto
pericial”, cuyo análisis de los hechos contribuirán a
determinar las causas que los han provocado.
En ese contexto, este documento tiene como objetivo
proporcionar una guía de buenas prácticas para el
análisis forense de la Informática Industrial, que sirva
de ayuda a presentes y futuros peritos. Se tratará, por
tanto, de un análisis forense centrado en los sistemas
de automatización y control industrial, tal y como
recoge su título.
Los orígenes del análisis forense informático se
remontan a 1984, cuando el FBI y otras agencias
de la administración estadounidense comenzaron
a desarrollar programas para analizar evidencias
digitales. Tuvieron que pasar más de 10 años, para que
en 1995 se constituyese la Organización Internacional
sobre Evidencias Informáticas (IOCE, International
Organization on Computer Evidence) que ha impulsado
el análisis forense informático hasta convertirlo en la
disciplina imprescindible que es hoy en día.
Aunque el análisis forense informático, o digital,
cuenta en la actualidad con profesionales cualificados
y reconocidos, se debe ser muy consciente de la
Prólogo
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 11
CONTENIDOS
EL ANÁLISIS FORENSE
EL PERITO
TERMINOLOGÍA JURÍDICA BÁSICA
TIPOLOGÍA DE DELITOS TECNOLÓGICOS
LA EVIDENCIA ELECTRÓNICA Y SUS CARACTERÍSTICAS
LA CADENA DE CUSTODIA
desconocía bajo las garantías de imparcialidad (pues el investigación que se realice. Dicho esto, resulta
perito se escogía por común acuerdo de las partes o al conveniente que toda investigación se efectúe desde
azar -por insaculación-) y capacidad (en lo relativo a su la asunción de que la misma va a ser sometida a la
cualificación). crítica y la controversia de un proceso, usando los
más altos estándares éticos y las metodologías más
La LEC parte de la base de que las pericias realizadas adecuadas para el caso en liza.
por los técnicos son, por lo general, aportadas al
proceso por las partes en la fase de alegaciones. La ciberdelincuencia, por tanto, no designa a una
Resuelve, así, el anterior dilema acerca de su categoría concreta de conductas criminales sino que
naturaleza, y, muy especialmente, el aspecto de nos sitúa ante una forma específica de llevar a cabo
la remuneración de los peritos, motivo que hacía el delito. Es un concepto de carácter transversal y que
decaer el carácter "imparcial" del perito judicial. En la afecta a múltiples bienes jurídicos.
actualidad, el dictamen pericial es un medio de prueba
más (art. 299.1 LEC) que habrá de ser detenidamente La Criminalidad informática es un fenómeno en
valorado por el juzgador siendo el tribunal el único expansión. La evolución tecnológica ha dado paso
competente para apreciar los dictámenes periciales a nuevos delitos y nuevas formas de ejecución de
conforme a las reglas de la sana crítica, sin que esté los delitos, por lo que es necesario un ordenamiento
sometido a las conclusiones valorativas realizadas por jurídico con capacidad de evolución que ofrezca
los técnicos. Del mismo modo, si duda acerca de la solución a las nuevas situaciones, así como un
verdad o falsedad del hecho jurídico controvertido y esfuerzo de armonización con la legislación, pautas y
apreciado por los peritos, debería resolver la incógnita criterios asumidos internacionalmente dado el carácter
acudiendo a las normas de la carga material de la transnacional de estas conductas.
prueba (art. 217.1 LEC) y no ordenando la práctica de Dicho esto, cabe distinguir dos tipologías de delitos
una prueba pericial judicial dirimente como diligencia genéricas:
final, pues al hacerlo tiende a tergiversar el nuevo
sistema ya que parte de la errónea base de que el ››Nuevas formas de comisión de delitos tradicionales; y
perito judicialmente designado tiene un valor probatorio ››Delitos informáticos stricto sensu, como aquellos
superior al obtenido por las partes. relativos a la seguridad de los datos, programas y
sistemas.
También la Ley de Enjuiciamiento Criminal (LECrim),
trata la figura del perito, sus actuaciones e informes, Como ejemplo, en las últimas reformas del Código
por ejemplo, en los artículos 456 a 485, lo cuales Penal español se introducen nuevas figuras delictivas
tratan sobre el informe pericial en el contexto de o adecuación de los tipos penales ya existentes, para
la comprobación del delito y la averiguación del ofrecer una respuesta más adecuada a las nuevas
delincuente. formas de delincuencia. Por conducta delictiva, cabría
clasificar los delitos informáticos en los siguientes
grupos:
Tipología de delitos tecnológicos ››Corrupción y pornografía de menores o
No hay una tipología específica de delitos tecnológicos, discapacitados. Childgrooming. (Art. 198 ter, 189)
considerándose en la mayoría de los casos el uso de ››Conductas coactivas, intimidatorias o insultantes a
medios tecnológicos como el modo comisivo de delitos través de Internet. (Art. 169, 172 ter, 208)
preexistentes, habiendo algunos tipos o subtipos
››Delitos contra la intimidad: usurpación de identidad.
agravados específicamente tecnológicos (como los
(Art. 197)
daños informáticos). Dicho esto, resulta igualmente
evidente que hoy hay delitos propios de este entorno ››Delitos contra la propiedad intelectual. (Art. 270)
que no existían antes de que las tecnologías de la ››Allanamientos informáticos. (Art. 264)
información y las comunicaciones se encontraran ››Ataques a datos y sistemas de información, en
ampliamente extendidas. concreto, los daños informáticos (Art. 264 y 264 bis
CP), el acceso ilegal a sistemas informáticos (Art.
Resulta oportuno, cuando se analiza un incidente
197 bis. 1) y la interceptación de transmisiones no
informático, valorar si el mismo pudiera ser constitutivo
públicas de datos (Art. 197 bis. 1).
de delito, para orientar de manera adecuada la
18 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
c) La vinculación existente entre evidencias, caso de b) Que ha sido creada o enviada por la persona de la
existir, debería permanecer siempre presente. cual se afirma que la ha creado, almacenado y/o
enviado; y
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 19
c) Que ha sido creada, almacenada y/o enviada en el Las indicaciones sobre el contexto de las evidencias
momento en que se afirma. electrónicas deberían contener la información
necesaria para la comprensión de las operaciones
Para garantizar la autenticidad de las evidencias que las crearon y usaron. Debería ser posible
electrónicas, las organizaciones deberían definir, identificar una evidencia electrónica en el contexto
diseñar, implantar, documentar, mantener y amplio de las actividades y las funciones de la
gestionar las políticas, procedimientos, y el entorno organización. Con la finalidad de poner la evidencia
tecnológico, para el control de la creación, recepción, en contexto, se deberían mantener los vínculos
transmisión, mantenimiento y eliminación de existentes entre las evidencias electrónicas que
evidencias electrónicas de manera que se asegure reflejan una secuencia de actividades.
que los creadores de los mismos estén autorizados e
identificados y que las evidencias electrónicas estén La disponibilidad y completitud proporcionan la
protegidas frente a cualquier adición, supresión, garantía de acceso y utilización, en los tiempos
modificación, utilización u ocultación no autorizadas. requeridos y comprometidos, así como que aporta el
contexto total a la evidencia.
La integridad de una evidencia electrónica hace
referencia a su no alteración. Es necesario que La disponibilidad individualmente considerada se
una evidencia electrónica esté protegida contra sustenta en la inteligibilidad y la recuperabilidad de
modificaciones no autorizadas. Así pues, las las evidencias. Ambas, por su parte, hacen referencia
políticas y los procedimientos de gestión de a la recuperación de la evidencia y su reproducción
evidencias electrónicas deberán especificar qué con las mismas características de cuando fue
alteraciones o modificaciones pueden realizarse en registrada, estableciendo para ello las medidas
una evidencia electrónica después de su creación, organizativas, tecnológicas y procedimentales que
en qué circunstancias pueden autorizarse dichas fuesen necesarias. Así durante todo el tiempo que se
alteraciones o modificaciones y quién está autorizado custodie la evidencia, para mantener la confiabilidad,
para llevarlas a cabo. Cualquier alteración, se deberá disponer del software, soportes, lectores,
modificación o supresión autorizada que se realice y procedimientos correctos, teniendo especial celo
en una evidencia electrónica debería indicarse de cuando por obsolescencia deban ser actualizados.
forma explícita y dejar traza.
La disponibilidad se refiere a que las evidencias sean
Disponibilidad y completitud accesibles, recuperables, representables y legibles.
Así por ejemplo, algunos documentos electrónicos,
Una evidencia electrónica disponible es aquélla que pueden ser usados como evidencias
que puede ser localizada, recuperada, presentada electrónicas, son de conservación permanente y
e interpretada. Su presentación debería mostrar la por ello se debería garantizar un archivo de larga
actividad u operación que lo produjo, en tiempo y duración.
forma requerida.
Por otro lado, el contexto debe identificar los
La completitud de una evidencia electrónica es procedimientos y controles aplicados a la evidencia
aquella cualidad que responde a una representación electrónica, en cada una de las etapas de su ciclo
completa de las operaciones, las actividades o los de vida, así como las circunstancias que rodean las
hechos de los que da testimonio y al que se puede acciones aportando información complementaria
recurrir en el curso de posteriores operaciones o para garantizar el valor de la evidencia.
actividades. Las evidencias electrónicas deberían
ser creadas en el momento, o poco después, en Cumplimiento y gestión
que tiene lugar la operación o actividad que reflejan,
por individuos que dispongan de un conocimiento Esta pareja proporciona la garantía de que la
directo de los hechos o automáticamente por los evidencia obtenida es conforme a lo esperado al
sistemas que se usen habitualmente para realizar haberse gestionado y utilizado los procedimientos
las operaciones. Además, la propia evidencia deberá previamente planificados, siendo los mismos
de ponerse en contexto para un mayor y mejor exhaustivos, repetitivos, controlados, medibles y
entendimiento de la misma. auditables.
20 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
La Organización debe poder ser capaz de demostrar judicial, cualquier indicio de que no se hubiere
ante terceros que la evidencia electrónica, en todo respetado la cadena de custodia podría suponer
su ciclo de vida, ha sido generada y almacenada la invalidación de la prueba al no ofrecer ésta las
conforme a lo descrito en sus políticas, normas y suficientes garantías de originalidad e integridad. A
procedimientos de actuación. Asimismo debería diferencia de lo que sucede en otras especialidades del
garantizarse que el sistema sea auditable y que peritaje, gracias al clonado de evidencias electrónicas
las evidencias puedan ser analizadas por terceros el analista forense informático puede evaluar las
independientes. Por otro lado, el cumplimiento pruebas trabajando sobre una copia idéntica del
también se refiere a la adecuación a la legislación original, lo que le permitirá realizar las labores
vigente y/ o normas sectoriales. necesarias de investigación sin riesgo de alterar la
prueba original. Por supuesto, el proceso de clonado
La Organización a través de un ciclo de mejora formará parte de la cadena de custodia y no deberá
continua, puede demostrar ante los grupos de realizarse cuando pueda comprometer la integridad del
interés su grado de compromiso, a lo largo del original.
tiempo, con la veracidad y/o fehaciencia de la
evidencia. Las recomendaciones de la RFC 3227 (Request for
Comments 3227) sobre “Recopilación y archivo de
Estos atributos sirven para cualquier evidencia con evidencias” establecen unas actuaciones básicas para
independencia de la tecnología usada o del uso o la captura de evidencias, entre las cuales destacan las
destino de la misma, y aseguran su autenticidad tanto de generar checksums (de tipo HASH, por ejemplo) y
durante el ciclo de vida de la evidencia en los sistemas firmar criptográficamente las pruebas con la finalidad
como en el momento de su extracción. de preservar la cadena de custodia siempre, claro está,
El tratamiento de la evidencia (de cualquier tipo) debe que estas actuaciones no alteren la prueba.
hacerse conservando la integridad de la misma y que La RFC 3227 dedica un breve apartado a la cadena
si por razones atendibles es necesario interactuar de custodia en el que se establece la necesidad de
con la misma, con el riesgo de producir efectos documentar cualquier intervención realizada en torno a
irreversibles sobre la propia evidencia, se deberá la evidencia digital:
contar con la correspondiente autorización judicial y
además documentar claramente todos y cada uno de ››Dónde, cuándo, por quién y cómo se han recopilado
los pasos ejecutados en el manejo y tratamiento de la las evidencias.
misma. ››Dónde, cuándo, por quién y cómo se han manipulado
o examinado las evidencias.
››Quién, durante cuánto tiempo y cómo se han
La cadena de custodia custodiado las evidencias.
Un aspecto clave en el transcurso de una investigación ››Cuándo, entre quiénes y cómo se han producido los
relacionada con un incidente informático o tecnológico, intercambios en la custodia de las evidencias.
incluidos los sistemas industriales, es el de disponer
Todas estas actuaciones permitirán acreditar ante
de evidencias electrónicas válidas. El perito deberá
terceros (ya sean los órganos judiciales, la contraparte,
garantizar la consistencia de tales evidencias durante
otros peritos, cuerpos policiales, etc.) que la prueba
todo el proceso, desde el momento de la recopilación
no ha sido alterada en ningún momento, aunque más
de las pruebas hasta que finalice la investigación
importante, si cabe, es asegurar que la prueba objeto
forense o el proceso judicial. Así, al procedimiento de
de custodia es exactamente la misma que se incautó el
control y documentación que garantiza la integridad de
día de autos. En la reciente sentencia núm. 676/2016
las evidencias electrónicas se le denomina cadena de
del Tribunal Supremo español se señala, como ya
custodia.
se había indicado en jurisprudencia anterior, que el
El objetivo de la cadena de custodia es el de garantizar problema de la cadena de custodia es el de garantizar
la indemnidad de la prueba, esto es, que permita el que las pruebas presentadas a juicio son las mismas
análisis de la evidencia al mismo tiempo que impida la que se recolectaron en su día, lo que en términos
alteración, sustitución, contaminación, degradación o jurídicos se denomina el principio de mismidad de
destrucción de la misma. En el marco de un proceso la prueba: «Se trata de garantizar que desde que se
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 21
recogen los vestigios relacionados con el delito hasta hora, lugar y actuación realizada sobre la evidencia
que llegan a concretarse como pruebas en el momento custodiada.
del juicio, aquello sobre lo que recaerá la contradicción
entre las partes y el juicio valorativo de los juzgadores, La norma ISO/IEC 27037 establece dos tipos de
es lo mismo que lo inicialmente incautado. Es a evidencias digitales: evidencias volátiles y evidencias
través de la cadena de custodia como se satisface la persistentes. Las evidencias volátiles son muy frágiles
garantía de la "mismidad" de la prueba». Por ello el y pueden desaparecer fácilmente, ya sea por una mala
perito deberá ser extremadamente prudente e iniciar praxis en la recolección de datos (por ejemplo, apagar
el procedimiento de cadena de custodia en el instante un equipo que está en marcha cuando las pruebas
previo a la recopilación de la evidencia. están en la memoria temporal), así como por el simple
paso del tiempo, por ello es imprescindible definir un
En el apartado anterior ya se analizó la norma UNE orden de recolección de evidencias que respete el
71505 “Sistema de gestión de Evidencias Electrónicas orden de volatilidad de los datos. Entre las evidencias
(SGEE)” en cuanto a las buenas prácticas en la gestión volátiles a preservar se encuentran los procesos
de evidencias electrónicas. Como complemento en ejecución, los puertos y conexiones abiertas,
a los procesos que conforman dicho sistema de usuarios conectados, memoria caché, información
gestión la norma UNE 71506 “Metodología para del portapapeles, etc. El perito encargado de recopilar
el análisis forense de las evidencias electrónicas” estas evidencias deberá poseer la capacidad técnica
tiene por objeto establecer una metodología para la suficiente para no alterar las pruebas durante el
preservación, adquisición, documentación, análisis proceso de recogida, manteniendo intacta la cadena
y presentación de tales evidencias. En ella se define de custodia. Esta situación es especialmente relevante
la cadena de custodia como el “procedimiento de en escenarios industriales donde existe gran variedad
trazabilidad controlado que se aplica a las evidencias, de evidencias volátiles: el estado de una máquina, los
desde su adquisición hasta su análisis y presentación datos recogidos por sensores, señales enviadas a un
final, el cual tiene como fin no alterar la integridad y PLC o la captura de pantalla de un HMI entre otros.
autenticidad de las mismas, asegurando en todo este Incorporar a la cadena de custodia información en
proceso que los datos originales no son alterados”. formato gráfico (fotografías, o incluso grabaciones en
video) será de gran apoyo para corroborar la validez del
Aunque el proceso de cadena de custodia carece proceso de obtención de la prueba.
de regulación legal en el ámbito procesal penal
español, la validez de la prueba se sustenta en las Una preocupación subyacente en el proceso de
buenas prácticas adoptadas por el perito y el resto la cadena de custodia es el de no interferir en los
de intervinientes. En un proceso judicial, la obtención derechos fundamentales vinculados a la intimidad,
ilegal de la prueba, la ruptura de la cadena de custodia protección de datos o secreto de las comunicaciones
o cualquier indicio razonable de que la prueba ha sido respecto a las evidencias tratadas. Si bien este
alterada, contaminada o manipulada puede dar lugar escenario es improbable en el análisis forense de
a la impugnación de la prueba por la parte contraria. dispositivos industriales (dispositivos a nivel de red de
Aun así, la exclusión de la prueba y, por extensión, del campo o de red de control) deberán tenerse en cuenta
informe pericial correspondiente, quedará supeditada tales circunstancias cuando se trate de dispositivos
a la existencia de un sustento técnico que lo justifique, de niveles superiores o pertenecientes al área de IT
como podría ser el examen de la prueba por parte de (Tecnologías de la Información) como ordenadores
otro perito o la elaboración de otro informe pericial por personales, estaciones de trabajo, smartphones,
la parte reclamante. tabletas, etc. En estos casos se requerirá el
consentimiento del titular o autorización judicial antes
La cadena de custodia también es objeto de de proceder con la recopilación de evidencias.
tratamiento en la norma ISO/IEC 27037 “Directrices
para la identificación, recolección y/o adquisición y
preservación de evidencias digitales”. Según esta
norma la cadena de custodia debe permitir identificar
a todos aquellos que hubieran tenido acceso a
las pruebas en cualquier momento del proceso,
documentando fehacientemente nombre, fecha,
Conceptos fundamentales
Peritaje de Tecnologías de Operación
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 23
PERITAJE DE TECNOLOGÍAS
DE OPERACIÓN
En este documento se establecen los criterios y
recomendaciones fundamentales en el peritaje OT NIVEL 4 Tecnologías de
(del inglés Operational Technology), tomando como de
Red ación
rm Información
Info (ERP)
base las del campo tecnológico más próximo de IT NIVEL 3
ación
per
(del inglés Information Technology), que ya tiene una NIVEL 2 Red
de O ES)
(M
n
Tecnologías de
Operación
isió
dilatada historia en peritajes tecnológicos en entornos NIVEL 1 d
erv
Sup MI)
de DA, H
Re (SCA
heterogéneos, y que en algunos casos pueden ser trol
NIVEL 0 Con
de aplicación al entorno de automatización y control de CS)
Red PLC, D
(
industrial. po
am ón)
e C aci
d d nt
Re trume
(Ins
En este documento se analizarán las particularidades
del peritaje OT, tanto por las limitaciones que nos
vamos a encontrar (p. ej, la dificultad o imposibilidad
de detener los sistemas de operación para realizar
las actuaciones periciales), como por las condiciones Figura 1: Pirámide de Automatización Industrial
especiales de los entornos de operación (p. ej,
limitación o incapacidad de almacenamiento de El peritaje tecnológico en sistemas de automatización
registros de operaciones “logs” en determinados y control industrial puede corresponderse con dos
equipos de campo), así como aquellas excepciones orientaciones:
que exijan un tratamiento especial frente a la
››Probatoria: Enfocada en demostrar la evidencia,
norma habitual del peritaje informático. Es por ello
por ello la captura y el tratamiento de la información
recomendable mantener siempre que sea posible
debe permitir documentar cada acción realizada
sistemas con redundancia de datos, permitiendo
con el objetivo de garantizar que lo observado
entregar uno de los sistemas de almacenamiento sin
pueda reproducirse evitando cualquier posible
afectar la operación del sistema completo.
contaminación y reduciendo así la posibilidad de
Las tecnologías empleadas en la automatización y repudio.
gestión de procesos productivos quedan representadas ››Investigativa: Enfocada exclusivamente en conocer
en la llamada ”Pirámide de Automatización", la cual los hechos ocurridos, su origen, la causa y su autoría,
recoge los cinco niveles tecnológicos que se pueden por consiguiente no se requieren precauciones para
encontrar en un entorno industrial. En el peritaje evitar la contaminación o el repudio. Un ejemplo
OT deberá contemplar también los sistemas de claro de esta orientación es la seguridad informática
información y comunicaciones de los niveles 3 y 4, centrada en el estudio de los sistemas informáticos
que se muestran en la figura, los cuales interactúan con el objetivo de proteger su confidencialidad,
con los niveles inferiores de la pirámide en un integridad y disponibilidad, para lo cual realizan
número importante de procesos industriales. Es actividades de diagnóstico de los sistemas con el
habitual encontrar, en los registros de estos sistemas, objetivo de conocer cual es su estado de salud e
evidencias que pueden permitir identificar aquellos identificar el origen, la causa y autoría de cualquier
sistemas OT de niveles inferiores que se han visto incidente.
afectados por el incidente objeto del análisis.
24 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
El profesional de seguridad informática cuando por su empezar a ser reconocidas en el corto plazo, con el
actividad se ve implicado en acciones de investigación fin de entender si el ICS ha sido comprometido por
para demostrar hechos que pueden ser delictivos un fallo tecnológico u ocasionado por un actor hostil.
podría estar “contaminado de necesidad” la evidencia Asimismo, las empresas u organizaciones, como
por su rol dentro de la organización. Este mismo hecho también sus ingenieros deberán tener presentes los
si se produce en la auditoría de seguridad informática, conceptos de Due Care o Reasonable Care (que los
donde la habitual participación de auditores externos miembros de una empresa tomen todas las medidas
constituye de facto una rasgo de independencia de protección razonables posibles) o el de Prudent
actuando, por tanto, como garante de prueba. Man Rule (que los miembros de una organización
realicen aquellas acciones con diligencia y cuidado
El perfil del perito deberá contar con conocimientos como lo haría cualquier hombre prudente). El hecho
de los sistemas de información y de operación sobre de poder detectar que se ha producido un incidente
los que tenga que actuar, así como de las técnicas de de forma intencionada, ya sea aprovechando un
análisis forense. En aquellas situaciones en las cuales fallo tecnológico o un fallo de procedimiento (o hasta
el objetivo de su trabajo sea la presentación de hechos incluso humano), permitirá en primer lugar identificar
en un litigio, tales conocimientos comprenderán la y entender cómo se ha producido el compromiso, y en
legislación vigente en su jurisdicción, así como también segundo lugar, adoptar todas las medidas de control
de la práctica procesal y sus reglas en cuanto a directo o compensatorio para fortalecer el sistema de
formalidades en la presentación de su dictamen y los control frente a posibles ataques similares en el futuro.
plazos establecidos por los procedimientos legales.
Existen determinadas limitaciones a la hora de realizar
un análisis forense en los entornos de operación, y
Aspectos específicos de las tecnologías que permiten su automatización.
Es habitual, todavía hoy en día, que si un Sistemas Podemos destacar las siguientes:
de Control Industrial (ICS, por sus siglas en inglés) ››Funcionamiento continuo de determinados sistemas
deja de funcionar correctamente, la prioridad del que impide su parada limitando de esta forma las
ingeniero sea devolver el sistema a su estado de actividades necesarias para la investigación.
funcionamiento habitual, y de la manera más rápida
››Falta de capacidad para registrar la actividad o
posible para evitar mayores pérdidas económicas
transacciones realizadas en los sistemas de control.
para la empresa. Considerando la cantidad de
incidentes de seguridad intencionados a través de ››Escasez de herramientas de análisis forense para
malware, Amenazas Persistentes Avanzadas (APTs, determinadas tecnologías de operación que se
por sus siglas en inglés) o incluso en el marco de los ejecutan sobre sistemas propietarios o cerrados.
análisis de casos de ciberguerra y ciberterrorismo, las Estas y otras limitaciones son desarrolladas en los
consideraciones forenses en este entorno deberán siguientes apartados del documento.
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 25
2
Análisis forense
en Tecnologías
de Operación
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 27
CONTENIDOS
EN REDES INDUSTRIALES
SISTEMAS DE ANÁLISIS FORENSE EN REDES
PASOS BÁSICOS DEL ANÁLISIS
ANÁLISIS FORENSE BÁSICO
ANÁLISIS FORENSE ESTRICTO
TÉCNICAS Y HERRAMIENTAS
Es importante señalar algunas de las características y Cada uno de los incidentes analizados es único, por
condiciones de operación de los ICS. A diferencia de lo tanto, el modo de actuar puede diferir. En algunas
los sistemas de información, algunos ICS automatizan ocasiones las tareas se limitarán a la colaboración con
determinados procesos que funcionan en tiempo real, los organismos responsables de Delitos Telemáticos,
donde deben ser estrictamente controlados los tiempos proporcionándoles el equipo íntegro, siempre que
de respuesta y la latencia de red. Las ventanas de esta posibilidad exista, para que sea analizado en sus
tiempo de inactividad programada, en algunos casos instalaciones y por sus expertos en peritaje. En otras
puede ser de meses dificultando las actualizaciones ocasiones será necesario realizar una recolección
de software. Los ICS trabajan en ambientes con de información del ICS: analizar su registro, estudiar
condiciones extremas de temperatura, humedad, el sistema de ficheros (FS) del ICS comprometido y
polvo o vibraciones, muy diferentes a las que están reconstruir la secuencia de eventos para tener una
sometidos los sistemas de un centro de datos. imagen clara y global del incidente, lo cual no siempre
será posible.
Lo más frecuente es encontrarse que el análisis
forense para ICS se concentra en el nivel 2, El análisis terminará cuando se tenga conocimiento
sistema SCADA, DCS, bases de datos…etc. La de (1) cómo se produjo el compromiso, (2) bajo qué
principal razón es que normalmente estos sistemas circunstancias, (3) la identidad del posible atacante,
funcionan sobre sistemas operativos de propósito (4) su procedencia y origen, (5) las fechas del
general, como Windows, Unix o Linux, y por tanto compromiso, (6) los objetivos del atacante, (7) los
responden a incidentes que podemos investigar con efectos del compromiso, así como, (8) cuándo ha sido
las herramientas forenses disponibles para estas reconstruida completamente la secuencia temporal de
plataformas, y a su vez, los ataques más comunes los eventos.
en los ICS ocurren a éste nivel (ataques de malware,
de explotación de vulnerabilidades sobre los HMI o el
software de los SCADA o DCS, etc.). Sin embargo, Dificultades en la recopilación de
es importante también analizar los sistemas del evidencias
nivel 1, aunque en este caso, las herramientas
››Muchas tecnologías de operación del nivel 1, y
disponibles para estas plataformas sean escasas.
algunas del nivel 2 no proporcionan recogida de
Una alternativa para poder comprender el análisis datos (registros de logs) eficaz para poder analizar
forense en ICS se basa en la diferenciación de las posteriormente el incidente. Además gran parte de
posibles categorías de análisis: aquellos sistemas que sí tienen dicha capacidad,
está normalmente desactivada. Por lo tanto, la
››Fallos o ataques a través de la configuración de volatilidad de los datos del proceso y su estado
sistemas de nivel 1 (sistemas embebidos de PLCs o es tal, que se borran, eliminan o sobrescriben a
RTUs, gateways) una velocidad que hace que la recolección sea
››Fallos o ataques a través de la configuración del inviable en muchas oportunidades. Asimismo, es
sistema operativo o de aplicaciones del nivel 2 muy común también encontrarse en los sistemas
(estación de trabajo de configuración, servidores del nivel 1 que las capacidades de procesamiento,
de bases de datos, aplicaciones de supervisión y/o memoria y de almacenamiento están limitadas por
control) su funcionalidad específica dificultando no solo la
››Fallos o ataques a través de redes Ethernet. recopilación de evidencias, sino también la activación
››Fallos o ataques no Ethernet (comunicaciones serie). de cualquier registro de auditoría porque afectaría
a su funcionamiento o incluso a su estabilidad en
››Fallos o ataques a través de dispositivos (USB,
algunos casos.
DVD,...) o aplicaciones de intercambio (correo
electrónico, transferencia de ficheros, disco remoto,
servidor web, ERP, etc.)
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 31
Vulnerabilidades comunes en
sistemas del Nivel 1 (Control)
e
Cach
En los sistemas del nivel 1, como ya se ha comentado,
Dis
mi
se encuentran principalmente controladores,
cia
e
Mez ión d
nu
en
ció
Infor utamien ceso
is t
s BA
nd
rs
JA n r r o
pe
e
s de
p
dependiendo del entorno automatizado, podemos
eu
Sin
tabla
nid
ad
de l
ma
Siste tempor
ro
a encontrar PLCs (Controladores Lógicos Programables),
fiche y disco
normalmente en instalaciones localizadas y asistidas, o
ny
ació to
itoriz
Mon tro rem
o RTUs (Unidades de Terminal Remoto) en localizaciones
regis
Mez
físic
a
ción rchivos
de difícil acceso, dispersión geográfica o instalaciones
cla d figura a
Con ación de
e da
tos A
LTA Inform
desasistidas y con comunicaciones lentas.
Los PLCs son dispositivos diseñados para controlar
múltiples señales de entrada (sensores) y de salida
Figura 2: Nivel de persistencia de los datos
(actuadores), con capacidad para resistir temperaturas
extremas, ruido eléctrico, vibraciones e impactos.
La programación incorporada para el control de
››Las arquitecturas en las que se despliegan funcionamiento suele almacenarse en baterías o
tecnologías de cortafuegos o sistemas de detección en memorias no volátiles. Un PLC es un ejemplo
de intrusos, normalmente sí permiten registrar la de sistema de tiempo real, donde los resultados
actividad a través del tráfico de red, pero por lo de salida deben ser producidos en respuesta a las
general a la hora de hacer una pericia forense, condiciones de entrada dentro de un tiempo limitado,
detectamos que no pueden ser correlacionados de de lo contrario no se logrará el resultado deseado.
manera efectiva con los datos de los dispositivos de Al ser sistemas específicos, las características
control, o su implementación no es la adecuada para hardware (procesamiento, memoria y almacenamiento)
la investigación forense por cuestiones tan básicas suelen diseñarse de forma muy ajustadas a las
como la desincronización de los horarios entre los funcionalidades y necesidades de control. Por ello, las
dispositivos. capacidades de autenticación, autorización y cifrado
››El análisis posterior al incidente depende, a menudo, suelen ser muy limitadas en los controladores.
de la participación de proveedores, debido a que
son sistemas propietarios y cerrados, dificultando Está demostrado que los PLCs, salvo excepciones, no
la comprobación de procesos esenciales como han incorporado requisitos de ciberseguridad en su
la autenticación, las autorizaciones y/o las diseño, situación que mediante diferentes mecanismos
modificaciones realizadas en los sistemas, todo ello puede permitir a un atacante:
motivado por la falta de integridad comprobable. ››El desbordamiento del buffer
››Los sistemas de los niveles 1 y 2, son sistemas ››La ejecución de código arbitrario
críticos que requieren un funcionamiento continuo
››La obtención de privilegios
para garantizar la operación del proceso, lo cual
dificulta, o incluso en algunos casos impide su parada ››El acceso a ficheros con información de entrada al
para obtención de información que sería necesario controlador
analizar. ››Captura del tráfico de entrada/salida
Las acciones maliciosas (payload) más frecuentes:
››La denegación de servicio
››El escalado de privilegios
››El control remoto del sistema
››La alteración o acceso a la memoria
Esta tipología de vulnerabilidades y acciones maliciosas
se ha obtenido recopilando las más habituales que se
han recogido para diferentes modelos de controladores
32 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
Las vulnerabilidades más frecuentes en sistemas del 2. Identificar a los sospechosos. En esta fase
nivel de supervisión son: se identificará a los posibles sospechosos que
pueden haber provocado el incidente (competencia,
››Autenticación débil o nula. empleado descontento, proveedor descontento,
››Buffer Overflow fallo tecnológico, posible atacante) que han podido
››Acceso a credenciales en comunicaciones no cifradas afectar a los ICS. La identificación de sospechosos
››Inyección de código arbitrario facilitará la siguiente fase.
››Obtención y escalado de privilegios 3. Determinar el alcance. En esta fase se
››Acceso débil a ficheros con información de acceso identificará el alcance de la investigación del
››Segregación de roles y perfiles ineficiente o incidente o incidentes, es decir, todos y cada
inexistente. uno de los posibles sistemas objetivo de la
investigación. Identificar las posibles fuentes de
››Configuraciones por defecto.
evidencia, incluyendo los sistemas, la red y los
Las acciones maliciosas (payload) más frecuentes: dispositivos conectados. Identificar el tipo de
››Denegación de servicio sistemas a ser investigado incluyendo sistema
operativo, fabricante, números de serie y modelo
››Escalado de privilegios
de PLC, y el diseño e implementación de redes.
››Control remoto del sistema Evaluar la volatilidad de los recursos identificados
››Alteración o acceso a la memoria después de la identificación con el fin de definir las
Esta tipología de vulnerabilidades se ha obtenido prioridades en cuanto a conservación de evidencias
recopilando las más comunes que se recogen para y su recolección. En esta fase se documentará
diferentes modelos de sistemas SCADA en CVE también el nivel de volatilidad y su impacto sobre
(Common Vulnerabilities and Exposures) https://cve. la posibilidad de reproducir los resultados de la
mitre.org/find/index.html. Actualmente son docenas las investigación, así como establecer los mecanismos
vulnerabilidades que podemos encontrar publicadas que permitan garantizar la integridad de los mismos.
para cada los diferentes sistemas SCADA.
Debido a la diversidad en las soluciones de
los proveedores, así como la personalización y
adaptación del propietario / operador, la singularidad
Pasos básicos del análisis juega un papel clave en el análisis forense para
Cuando un investigador forense empieza el análisis de entornos de sistemas de control. Será fundamental
la situación nunca sabe con lo que va a enfrentarse. disponer de la siguiente información sobre los
Al principio puede ser que no encuentre a simple componentes identificados dentro del alcance para
vista ninguna huella, ni prueba de que los ICS han comprender el entorno:
sido vulnerados. Puede encontrar procesos extraños
ejecutándose y puertos abiertos, también puede ››Ubicación física de los dispositivos de control
encontrar una saturación de tráfico de red desde un (nivel 1)
“host” específico o un consumo elevado de la CPU, o ››Especificaciones del hardware y software de los
cambios en la codificación de los algoritmos de control. ICS (Nivel 1 y 2)
››Especificaciones del hardware y software de
Los pasos básicos para empezar la investigación de
dispositivos de red.
un incidente en un ICS son diferentes en cada caso.
El investigador deberá tomar decisiones basándose en ››Mapa de red (direccionamiento, configuración,
su experiencia, pero en la mayoría de las ocasiones puertos, subredes,…)
podremos seguir los siguientes pasos: ››Especificaciones de parametrización y lógica de
control.
1. Comprender el entorno. Será muy importante
››Especificaciones de hardware y software de
para el éxito de la investigación conocer y
sistemas de (Nivel 3 y 4)
comprender el entorno de operación, sus servicios y
procesos automatizados, así como su arquitectura y ››Flujogramas del proceso y características de uso
documentación. de los componentes.
34 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
No debe perderse de vista que la evidencia en un Es importante mencionar que hoy día existe el RFC
proceso pericial puede ser: 3227, que aunque no es específico para entornos
ICS, se encarga de establecer los Principios para la
››Primaria (Inherente a la actividad pericial específica Recolección de Evidencias y por lo tanto será una
dentro del campo de la informática) buena guía de referencia. El RFC 3227 aborda los
››Secundaria (no tiene relación con el campo de la siguientes aspectos:
informática)
››Orden de volatilidad
y que la misma de por sí es frágil, por eso se
utilizan mecanismos de certificación de la prueba, tales ››Cosas a evitar
cómo las matemáticas (hashing por ejemplo). Desde ››Consideraciones relativas a la privacidad de los datos
un primer momento el investigador debe considerar ››Consideraciones legales
siempre que la evidencia electrónica es a priori:
››Procedimiento de recolección
››Volatil ››Transparencia
››Duplicable (o sea fácil de copiar sin dejar rastros) ››Pasos de la recolección
››Alterable y modificable (Reemplazable) ››Cadena de custodia
››Eliminable con intención o sin ella. ››Como archivar una evidencia
A estas consideraciones habría que añadir el hecho ››Herramientas necesarias y medios de
de que tales evidencias pueden poseer metadatos, almacenamiento de éstas
esto es, que además de la información específica La cadena de custodia, como ya se ha mencionado, es
de la evidencia, existen otros elementos indirectos una etapa esencial en procesos que puedan llegar a
que podrían ser de interés para el análisis forense judicializarse, y se refiere al registro de todos aquellos
como por ejemplo: los nombres de archivos, fechas eventos relacionados con la evidencia, acontecidos
asociadas, usuarios y permisos entre otros. Por ello desde su recolección hasta la presentación de
se deben tomar las precauciones necesarias en cada la misma, sin dar la posibilidad a que haya sido
caso para poder trabajar adecuadamente en el proceso modificada por nada ni por nadie en el medio del
pericial asegurando que toda evidencia electrónica sea proceso. Es por ello que muchas veces en este tipo de
siempre: procesos, se agrega la participación de un Notario cuya
función es documentar en un acta formal el proceso
››Relevante: relacionada con el incidente bajo
llevado adelante, asegurar que todo se haya realizado
investigación.
conforme a lo documentado, y es por lo general
››Permitida Legalmente: fue obtenida de manera a quien se le entrega en custodia las evidencias
legal. originales o una copia de las mismas en caso de que
››Confiable: no ha sido alterada o modificada. los originales no puedan ser quitados de la producción,
››Identificada: ha sido claramente etiquetada. para que lo resguarden hasta el juicio correspondiente.
››Preservada: no ha sido dañada o destruida. La preocupación por la cadena de custodia o la
presencia de un Notario tinen menor relevancia si el
caso no va a ser judicializado.
36 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
utilizado para enviar comandos al controlador con Editor de texto. Extremadamente útil para tomar notas
el objetivo de recolectar sus datos volátiles. Esta de evidencia y documentar el proceso forense. Puede
práctica no será válida a efectos legales, pero puede ser utilizado en todo momento de la investigación.
proporcionar una rápida respuesta ante incidentes.
EnCase Imager. De manera similar a FTK Imager
CSET (Cyber Security Evaluation Tool https://cset. este software es utilizado para adquirir datos
inl.gov/SitePages/Home.aspx). Herramienta de forenses desde un sistema operativo compatible. Esta
evaluación del DHS (Departament Homeland Security) herramienta se utiliza para HMIs, estaciones de trabajo
que proporciona a los propietarios y operadores de ingeniería, servidores OPC y servidores de base de
un mecanismo no intrusivo para entender mejor datos.
el riesgo operacional en lo que respecta a la
seguridad cibernética de todos los componentes FTK Imager. Este software se utiliza para adquirir
dentro de arquitecturas de sistemas de control. datos forenses desde un sistema operativo compatible.
La herramienta, también permite a los usuarios Esta herramienta se utiliza para HMIs, estaciones de
obtener más información acerca de las diversas trabajo de ingeniería, servidores OPC y servidores
normas de seguridad cibernética asociados a los de base de datos. El software puede manejar datos
sistemas de control, permite calcular los niveles estáticos y dinámicos, pero requiere ser instalado en el
de garantía de seguridad que puede ser vinculada dispositivo.
a las consecuencias más comunes en las que las Herramienta de hash. Una herramienta de hash es
organizaciones están familiarizados. Esto incluye el utilizada para autenticar y comprobar la integridad de
daño físico, las lesiones corporales y la pérdida de la los datos capturados. Las herramientas de adquisición
vida, el impacto ambiental y otros aspectos cualitativos a menudo incorporan esta firma que permite garantizar
o cuantitativos relacionados con un incidente que la integridad los datos.
afecta a controlar las operaciones de los sistemas.
NMAP. Herramienta para la detección de dispositivos
Esta herramienta proporciona a los investigadores en la red.
forenses la funcionalidad para crear reproducciones
eficaces de la arquitectura de los sistemas de NST (Network Security Toolkit). Compendio de
control para distintos ambientes, y las relaciones de herramientas, o herramientas de recuperación de
seguridad entre en dispositivos operativos. El uso de archivos eliminados como "TestDisk" o "Autopsy".
herramientas como esta proporcionan además de una
TCPDump. Se utiliza en la red de control o supervisión
revisión proactiva muy necesaria de cómo un incidente
para capturar y volcar el tráfico de red. Permite realizar
cibernético puede manifestarse en un dominio ICS,
un rastreo de un incidente a posteriori, puesto que
información que puede ayudar al investigador forense
ciertos indicadores de un ataque pueden estar aún
a un conocimiento de la casuística de incidentes en el
presente. Como la exfiltración de datos, actividades
entorno donde se produjo el incidente.
anómalas, etc. será útil para capturar cualquier
Distribuciones forenses. Es software utilizado para protocolo específico de comunicación con el sistema
adquirir datos forenses, incluyendo datos dinámicos. SCADA, como por ejemplo Modbus o Profinet, así
Estas herramientas no debe montar automáticamente como todos los datos asociados, tales como cargas de
los medios de almacenamiento o montarlos en modo datos o códigos de función para los dispositivos PLC.
solo de lectura. Incluyen normalmente herramientas
de captura y análisis. Típicamente se utilizan
distribuciones Linux con software bajo licencia GNU/
GPL. Este tipo de herramienta pueden ser utilizada
para capturar los datos volátiles de HMIs, estaciones
de trabajo de ingeniería, servidores OPC y servidores
de bases de datos. Algunos ejemplos de estas
distribuciones son CAINE (Computer Aide Investigation
Environment) o DEFT (Digital Evidence and Forensic
Toolkit).
38 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
Herramientas en las fases de Examen y Permite por ejemplo escribir secuencias de comandos
análisis de procesamiento de datos a medida utilizando
Debido a la naturaleza, a menudo compleja, de los Enscript. También puede utilizarse para procesar los
sistemas ICS, las fases de examen y análisis se basan datos del sistema de archivos de los servidores HMI,
principalmente en las notas de los investigadores y estaciones de trabajo de ingeniería, servidores OPC y
su 'reconocimiento' del sistema / red durante la fases base de datos.
previas de identificación y preparación. En las etapas Hex viewer. Herramienta software que permite ver los
de examen y análisis habrá una cantidad significativa datos en bruto en formato hexadecimal. Por ejemplo,
de datos variados que deberán ser procesados permite ver los datos de la memoria flash de PLC /
y examinados. Una comprensión detallada de la RTU / RAM en hexadecimal. Esto sería particularmente
propia red y la configuración de los dispositivos sería útil con el fin de ser capaz de buscar a través de los
extremadamente útil, como ya se ha mencionado. datos en bruto para los ejemplos binarios de malware
Las herramientas incluidas en esta sección ayudarán conocidos. Esto también proporcionará todos los
en el procesamiento, examen y análisis de los datos detalles útiles relacionados con el funcionamiento
recopilados: de un dispositivo de campo. P.ej. códigos de función,
Herramientas Hardware cargas útiles de datos, estado de ejecución, tiempos,
etc.
Equipos de alta capacidad de procesamiento.
Sistemas capaces de procesar grandes cantidades de Moki Linux. Distribución de Kali Linux que incluye
datos de forma rápida y eficiente, con múltiples puntos diversas herramientas para entornos ICS/SCADA.
de conexión para acceder a los datos capturados en la NetworkMiner. Herramienta que permite el análisis
investigación forense. de tráfico en sistemas de control industrial pudiendo
Dispositivos de Almacenamiento. Sistemas de recolectar información de importancia para la
almacenamiento con el fin de almacenar copias de realización de un análisis forense (Equipos dentro de la
todos los datos capturados en la investigación forense. red, credenciales encontradas, archivos, etc.). También
posee una opción de reconstrucción de paquetes que
Herramientas Software puede ser interesante para analizar ciertos protocolos
industriales que han podido ser víctimas de una
AccessData FTK Toolkit. Herramienta que puede reinyección de tramas.
utilizarse como alternativa de herramienta de análisis.
También puede utilizarse para procesar los datos del Nipper. Es una herramienta que permite analizar la
sistema de archivos de los servidores HMI, estaciones configuración de diferentes dispositivos de red y que
de trabajo de ingeniería, servidores OPC y base de soporta una gran variedad de fabricantes. Gracias a
datos. esta herramienta es posible detectar vulnerabilidades
de las que han podido aprovecharse usuarios
Autopsy. Herramienta libre que permite analizar maliciosos.
sistemas de ficheros. Asimismo, a partir de la versión
4.0 para Windows permite la integración de plugins OllyDbg, Radare, IDA Pro y Cuckoo sandbox.
personalizados para la extracción y procesamiento de Herramientas para el análisis de malware que permiten
datos específicos de sistemas SCADA. comprobar el comportamiento del mismo y analizarlo
a un nivel de detalle que permite comprender el
CREED. Cisco Router Evidence Extraction Disk. Se trata funcionamiento de estos códigos maliciosos.
de un disco auto arrancable que ejecuta un script para
obtener información de routers Cisco. P2 Commander. Suite comercial para el análisis
forense
E-Detective. Software que permite la reconstrucción
y reensamblado de tráfico a partir de los paquetes Volatility Framework. Herramienta de extracción y
capturados. análisis de la memoria volatil (RAM).
Encase Endopoint Investigator. Herramienta capaz Red Miner. Es una herramienta de análisis forense
de procesar y analizar las imágenes que fueron de red con capacidad para analizar el tráfico de ICS
tomadas usando los bloqueadores de escritura. capturado. Esta herramienta de análisis es útil para
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 39
ejemplo, tanto los servicios de inteligencia, como las Análisis forense básico
fuerzas del orden, tienen a su disposición el sistema de
Según el NIST en su guía para integrar técnicas
origen danés “SITEL”.
forenses de respuesta a incidentes (SP800-86) se
definen las fases básicas de los procesos de análisis
forense como la "captura, examen, análisis e informe”
Pasos básicos del análisis de eventos de red a fin de descubrir la fuente de los
Existen dos propósitos principales, como ya se ha ataques.
mencionado, para realizar un análisis forense: uno
es para mejorar la seguridad, en este caso de la ››Captura. La primera fase del proceso es identificar,
red, el otro es para obtener evidencias para poder marcar, grabar y adquirir datos de las posibles
presentarlas en procesos judiciales. Por lo tanto, hay fuentes relevantes, siguiendo las directrices y
dos tipos de análisis forenses, cada uno de los cuales procedimientos que preservan la integridad de
dispone de un número diferente de fases: los datos. La captura o recolección se realiza
generalmente de manera oportuna debido a la
››Análisis forense básico. En algunas circunstancias, posibilidad de perder datos dinámicos tales como
el foco de análisis forense de red es sólo para la las conexiones de red actuales, así como la pérdida
mejora de la seguridad. El análisis de datos es para de datos desde los dispositivos con baterías (por
descubrir algunas características en los ataques ejemplo, los teléfonos móviles, PDAs, …).
de red y utilizarlas para conducir las estrategias y ››Examen. Los exámenes implican tareas de procesar
gestión de cortafuegos o sistemas de detección de grandes cantidades de datos recogidos usando una
intrusiones. Así, pueden ser capturados y obtenidos combinación de métodos automatizados y manuales
en el proceso sin principios legales rígidos. para evaluar y extraer datos de interés particular,
››Análisis forense estricto. Es la intersección entre preservando su integridad.
la informática y la ciencia forense. Tiene fines ››Análisis. La siguiente fase del proceso es analizar
estrictamente forenses y su resultado puede ser los resultados de la fase anterior, utilizando métodos
utilizado como evidencia. Tiene criterios más rígidos legalmente justificables y técnicas, para obtener
en el requisito de la validación legal que el análisis información útil que responde a las preguntas que
forense básico. En los procesos de análisis forense motivaron llevar a cabo la recolección y examen.
estrictos se incluyen muchos pasos que deben
››Presentación de informes. La fase final informa
cumplir los principios jurídicos.
o comunica los resultados de los análisis, a través
de un informe que puede incluir la descripción
de las acciones utilizadas, explicando cómo se
seleccionaron las herramientas y procedimientos,
y determinando acciones a realizar (por ejemplo,
examen forense adicional de fuentes de datos,
asegurando las vulnerabilidades identificadas,
mejorando los controles de seguridad existentes) y
proporcionando recomendaciones para la mejora
de las políticas, directrices, procedimientos,
herramientas y otros aspectos del proceso forense.
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 43
Capacidades de registro
REGISTRO
››Rendimiento Extracción de
››Visibilidad paquete vía SPAN
››Redundancia
IDENTIFICACIÓN
Capacidades de
identificación Extracción según
filtro y periodo de
››Criterio de búsqueda tiempo
››Velocidad de búsqueda
ANÁLISIS
Capacidades de análisis
Análisis forense
››Facilidad de uso de red
››Profundidad de análisis
EN LA INTEGRACIÓN
CON LOS SISTEMAS
CORPORATIVOS
En apartados anteriores hemos cubierto el análisis
forense aplicado a los principales ICS, como SCADA
y DCS, controladores industriales y sobre la redes
industriales. En este apartado nos centraremos en el
análisis forense en la integración de esos sistemas,
dispositivos y redes (ambiente OT) con los sistemas
corporativos (ambiente IT).
Por análisis forense en la integración con los sistemas
corporativos entendemos el proceso de búsqueda
detallada para reconstruir a través de todos los medios
posibles el registro de acontecimientos que tuvieron
lugar desde el momento en el que los sistemas que
permiten la integración entre los ambientes OT e IT
estuvieron en su estado integro hasta el momento de
detección de una intrusión o ataque.
Alcance
El análisis forense de este apartado conlleva la
recogida de datos, examen y análisis de ficheros de
datos, datos de sistemas operativos y datos del tráfico
de red entre la zona corporativa (IT) y la zona de
operación y control (OT), incluyendo los dispositivos
y los datos de las aplicaciones ubicadas en la zona
desmilitarizada (DMZ, por sus siglas en inglés).
Zona
Zona
potencialmente Zona de confianza
desmilitarizada
hostil
Zona desmilitarizada
DMZ
controla el tráfico de entrada y salida del entorno de definido servidores de confianza en los niveles 4 o 5 de
control y contiene los potenciales ataques que se la red IT, o la falta de restricciones de acceso entrantes
puedan haber originado dentro de dicha red OT. que crea rutas de acceso en redes críticas. Un
problema común que también se ha observado es que
Una DMZ requiere que el cortafuegos ofrezca tres no estén configuradas las reglas de datos de salida en
o más interfaces, en lugar de las típicas interfaces el cortafuego, esa falta de restricciones de acceso de
públicas y privadas. Una de las interfaces estará salida permite el acceso de los componentes internos
conectada a la red corporativa, la segunda a la red que pudieran haber sido comprometidos; por ejemplo,
de control, y las restantes interfaces a los dispositivos ello puede permitir que un atacante que tenga acceso
compartidos o que son más vulnerables, como por al entorno de operaciones (OT) instale un código de
ejemplo el servidor de datos históricos. Cada camino explotación en un dispositivo en la red de los ICS para
tiene que terminar en la DMZ. La mayoría de los volver a llamar fuera de la red del sistema de control
cortafuegos pueden permitir múltiples DMZ, y pueden desde la red de empresa o de Internet, pero si el filtro
especificar qué tipo de tráfico puede transmitirse entre de salida se aplica correctamente, el atacante no
las zonas. Con conjuntos de reglas bien planificados, recibirá la conexión de retorno y no podrá controlar
se puede alcanzar una separación clara entre la red de al dispositivo que ha quedado comprometido. Las
control y las otras redes, con ningún tráfico que pase conexiones nunca deben ser iniciados a partir de redes
directamente entre las redes corporativas y de control. de menos de confianza.
La arquitectura de dos cortafuegos aumenta la Se recomienda instalar un Sistema de Detección de
seguridad ya que esas capas adicionales deben ser Intrusos en cada uno de los segmentos de redes (en la
penetradas con el fin de comprometer los sistemas en DMZ y los niveles 5, 4, 3, 2 y 1 de la red).
el entorno de las OT. La seguridad puede aumentarse
si los cortafuegos que se instalan son de diferentes Los sistemas de detección de intrusos deben ser
fabricantes. Estos dos cortafuegos tendrían diferentes desplegados convenientemente en toda la red y
conjuntos de vulnerabilidades lo que complica que configurados para detectar los ataques que tienen más
un atacante pueda alterar ambos cortafuegos ya que probabilidades de tener éxito contra los sistemas en
tendría que encontrar y explotar vulnerabilidades que el entorno específico en que se trabaja. El sistema de
afecten a ambos dispositivos. Otro de los beneficios intrusión debe estar sintonizado para el tipo de tráfico
de la aplicación de la arquitectura dual de cortafuegos que se produce en la red con el objeto de minimizar
es que se pueden separar las responsabilidades de la generación de falsos positivos y alertas irrelevantes
gestión de los mismos, por lo que el cortafuegos que que pueden llevar a que el sistema o las alertas que
conecta al nivel 4 es gestionado por el departamento se generen no sean consideradas por los analistas
de IT, mientras que el cortafuegos que conecta al de seguridad y que por consiguiente el sistema caiga
nivel 3 puede ser responsabilidad del grupo de en desuso por la baja confianza que puedan llegar a
automatización y control de procesos (OT). generar las alertas que produzca.
Los dispositivos y aplicaciones que se suelen instalar
en la DMZ suelen ser el servidor de datos históricos, Pasos básicos del análisis
servidor de datos, servidor de parches y antivirus, y
servidor de acceso remoto. Las técnicas y procesos para recoger, examinar y
analizar datos expuestas en los apartados anteriores
La vulnerabilidad de la DMZ se asocia a la mala son igualmente válidas para la integración con
configuración de los cortafuegos debido a políticas sistemas corporativos por lo que solo se incluirá
de seguridad no diseñadas correctamente o viciadas en este apartado los pasos básicos de análisis que
por razones históricas. Las reglas del cortafuego pueden ser particulares de las aplicaciones que
determinan qué paquetes de red se les permite entrar se ubican en la DMZ, de los dispositivos utilizados
y salir de una red. Los paquetes pueden ser filtrados para interconectar la zona de confianza con la zona
según la dirección IP, número de puerto, la dirección potencialmente hostil, y de las transacciones y tráficos
y el contenido. Los defectos que son más comunes de datos entre las distintas zonas.
incluyen que el cortafuego deje pasar paquetes de
red de Microsoft Windows, pasando servicios, o haber La mayoría de los sistemas y aplicaciones generan
grandes volúmenes diarios de eventos por lo que es
52 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
Zona desmilitarizada
DMZ
Los eventos típicos que se registran son: acceso a Los sistemas de detección de intrusión de red realizan
cortafuegos, accesos remotos, eventos detectados el rastreo de paquetes y analizan el tráfico de red
por el sistema de intrusión, acceso y eventos en los para identificar actividades sospechosas, grabando
servidores, eventos en las aplicaciones. la información relevante para el análisis forense.
El software del sistema de intrusión por lo general
Es importante observar que el servidor de recopilación registra las mismas características de los eventos
de registros debe estar correctamente dimensionado, básicos que son recabados por los cortafuegos, por
con el espacio suficiente para almacenar los registros ejemplo, fecha y hora de origen, y de destino de las
de sucesos de todos los sistemas y aplicaciones direcciones IP, protocolo, características básicas del
críticas para un período de retención de datos protocolo, así como información específica de la
apropiado para cada caso. El período de retención aplicación, por ejemplo, nombre de usuario, nombre
debe ser documentado en la política de ciberseguridad de archivo, comando, código de estado. El sistema
y debe tener en cuenta las regulaciones que afecten al de intrusión también registra información que indica
sector industrial al que pertenece la organización. el posible propósito de la actividad. Ejemplos de esto
sería el tipo de ataque (desbordamiento de memoria),
la vulnerabilidad específica, el aparente éxito o
Técnicas y herramientas fracaso del ataque, y enlaces a más información sobre
En esta sección se describirán las técnicas y dicho ataque. Algunos sistemas de intrusión pueden
herramientas que se podrán utilizar en el análisis configurarse para capturar los paquetes relacionados
forense en la integración IT y OT. con la actividad sospechosa que puede ir desde grabar
solamente el paquete que desencadenó la alerta de
Los cortafuegos generalmente están configurados intrusión, para etiquetar la actividad sospechosa, hasta
para registrar información básica de los intentos de grabar el resto de la sesión.
conexión denegados y paquetes sin conexión; así como
información de registro de cada paquete. Los registros Las herramientas de información de seguridad y
suelen incluir la fecha y la hora a la que se procesa gestión de eventos (SIEM) son capaces de importar
el paquete, las direcciones IP de origen y destino, el la información de diversos eventos de seguridad de
protocolo de capa de transporte (por ejemplo, TCP, distintas fuentes de datos relacionados con el tráfico
UDP, ICMP), y el protocolo básico de información (por de red, por ejemplo, ID de registros, eventos de
ejemplo, TCP o UDP, números de puerto, tipo y código cortafuegos y correlación de eventos entre las distintas
ICMP). El contenido de los paquetes por lo general no fuentes. Un SIEM funciona en general, mediante la
se graba. recepción de copias de registros de varias fuentes
de datos a través de canales seguros, normalizando
Los cortafuegos que realizan la traducción de los registros en un formato estándar. A continuación,
direcciones de red (NAT) pueden contener datos la identificación de eventos relacionados, haciendo
adicionales que son valiosos para el análisis forense coincidir las direcciones IP, marcas de tiempo y otras
en relación con el tráfico de red. El dispositivo NAT características. Los SIEM por lo general no generan
normalmente registra cada dirección y el puerto de datos del evento original, en cambio, generan meta-
asignación de NAT. eventos sobre la base de datos de eventos importados.
Muchos de los sistemas comerciales disponibles
además de poder identificar actividades maliciosas,
tales como ataques de virus e infecciones, también
pueden detectar el mal uso o el uso inadecuado de los
sistemas y redes.
54 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
Las herramientas de análisis forenses de la red (AFR) (por ejemplo, mensajería instantánea entre dos
suelen proporcionar la misma funcionalidad que los usuarios) a todas las sesiones durante un período de
rastreadores de paquetes, analizadores de protocolo, tiempo determinado. La velocidad de la reproducción
y el software de SIEM en un solo producto. Mientras típicamente se puede ajustar según sea necesario.
que el software SIEM se concentra en la correlación ››Visualización de los flujos de tráfico y las relaciones
de eventos entre las fuentes de datos existentes, entre los servidores. Algunas herramientas pueden
que suelen incluir múltiples fuentes relacionadas incluso unir direcciones IP, nombres de dominio u
con el tráfico de red, el software de AFR se centra otros datos a ubicaciones físicas y producir un mapa
principalmente en la recogida, examen y análisis geográfico de la actividad.
del tráfico de red. El software de AFR también
››Construcción de perfiles de actividad típica y la
ofrece características adicionales que facilitan aún
identificación de desviaciones significativas.
más el análisis forense de red, con las siguientes
funcionalidades: ››Contenido de la aplicación de búsqueda de palabras
clave (por ejemplo, confidencial, de propiedad).
››La reconstrucción de eventos mediante la En la Tabla VI se lista como ejemplos de herramientas
reproducción de tráfico de la red dentro de la una serie de utilidades y la URL en la que puede
herramienta, que van desde una sesión individual obtener más información sobre las mismas.
http://www.securitywizardry.com/
Herramientas de Análisis forense de redes index.php/products/forensic-
solutions/network-forensic-tools.html
http://searchsecurity.techtarget.com/
Log and SIEM feature/Comparing-the-best-SIEM-
systems-on-the-market
EnCase Cybersecurity.
Herramienta forense que ofrece las siguientes funcionalidades: https://www2.guidancesoftware.com/
›› Detección de Incidentes en red. Lang/Pages/es/EnCase-Cybersecurity.
›› Auditoria de datos. aspx
›› Identificación de comportamientos extraños mediante el análisis de patrones.
EnCase Analytics. https://www2.guidancesoftware.com/
Herramienta que permite la presentación grafica de cuadros de mando para la toma de Lang/Pages/es/EnCase-Analytics.
decisiones en tiempo real, basada en la detección de situaciones potencialmente anómalas. aspx
Security Onion.
Distribución de Linux con una gran variedad de herramientas preinstaladas cuya función no
es otra que analizar redes. En esta distribución encontramos herramientas IDS/IPS como
Snort o Suricata, herramientas para monitorización de eventos de forma gráfica como Squert https://securityonion.net/
o Sguil, herramientas específicas para análisis de tráfico y capturas PCAPs como Wireshark
o NetworkMiner y herramientas de análisis forense como Bro y Xplico. Otras herramientas de
interés y que se apoyan a veces en las ya mencionadas son ELSA, Snorby, etc.
Lookwise SIEM.
Herramienta dentro de la suite de Lookwise con función de SIEM para la recolección y https://www.s21sec.com/es/
procesado de logs. Es posible usar esta herramienta para establecer una cadena de custodia productos/lookwise
de evidencias digitales para su presentación en procesos legales.
Splunk.
http://www.splunk.com/es_es
Herramienta con función de SIEM que permite el análisis de logs de forma detallada.
GasPot.
https://github.com/sjhilt/GasPot
Honeypot que simula medidores de tanques habituales en la industria petrolera y de gas.
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 55
3
El informe pericial
tecnológico
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 57
CONTENIDOS
ESTRUCTURA BÁSICA DEL INFORME FORENSE
OBJETO
ADQUISICIÓN DE PRUEBAS
OPERACIONES DE INVESTIGACIÓN REALIZADAS
CONCLUSIONES
SOBRE LA ROBUSTEZ DEL INFORME
COMUNICACIÓN DEL INFORME PERICIAL
El informe pericial tecnológico
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 59
Dicho escrito constituirá, a modo de informe En ese sentido, sirva como ejemplo el caso de la
final, el verdadero medio de prueba presentable norma UNE 197010, publicada en septiembre de
procesalmente, en aquellos casos en los que la acción 2015 por el organismo normalizador español, AENOR,
forense tenga finalidad judicial. De igual modo, el que indica que en el cuerpo del informe o dictamen
informe forense será fuente clave de las lecciones pericial, y dentro del apartado de análisis se deberán
aprendidas del caso en curso; unas lecciones que “…describir las bases y datos de partida establecidos
habrán de servir para la futura superación exitosa de por el solicitante y los que deriven de:
coyunturas similares a las que haya de enfrentarse ››La legislación, reglamentación y normativas
la organización y, en definitiva, para la mejora aplicables;
continua en la gestión de las acciones orientadas a la
››La investigación realizada encaminada a la definición
ciberprotección del proceso industrial y de los sistemas
de las conclusiones;
de control que lo sustentan.
››Las referencias, documentos, muestras y
En este sentido, y como elemento básico del procedimientos de toma y conservación de las
informe, su objeto habrá de especificar, al menos, las mismas que puedan fundamentar las conclusiones
motivaciones, antecedentes, actores y pretensiones del del informe o dictamen pericial.”
encargo bajo el cual se han abordado las actuaciones Dicha norma establece, asimismo, que deberán ser
reflejadas en esta pieza documental que resumirá y identificados los laboratorios, empresas o entidades
concluirá la actuación del perito. que haya participado en la elaboración de cualquier
ensayo o prueba necesaria para la investigación.
Adquisición de pruebas
Uno de los elementos clave a incorporar en todo Conclusiones
informe de resultados tras un análisis forense sobre Como elemento final del informe deberán reflejarse,
los sistemas de control industrial será el relativo a las a modo de conclusiones, los principales puntos que
pruebas obtenidas y los hallazgos detectados. resuman la opinión del especialista forense sobre lo
Entre las evidencias analizadas cabe citar números ocurrido y sus consecuencias, presentes o a futuro.
de serie, información sobre los operarios a cargo del Se tratará, en suma, de destacar los aspectos más
proceso productivo objeto del análisis o sobre los relevantes del caso estudiado, tras el análisis realizado.
custodios de la información tratada, fotografías de Esto, a menudo, se materializará en la forma de una
la instalación, etc. Asimismo, si resultase oportuno, lista concisa de valoraciones y recomendaciones.
también podría plantearse una clasificación, por
categorías, de los elementos analizados, por ejemplo:
documentos de interés, software empleado que
merezca ser reseñado, actividad de la red (o la
realizada sobre Internet), dispositivos USB empleados,
etc.
60 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
GLOSARIO
APT Advanced Persitent Threat (Amenazas Persistentes Avanzadas)
SCADA Supervisory Control And Data Acquisition (Supervisión, control y adquisición de datos)
TI Tecnologías de la Información
AENOR. “UNE 71505-2:2013. Tecnologías de la Información (TI). Sistema de Gestión de Evidencias Electrónicas (SGEE). Parte 2:
Buenas prácticas en la gestión de las evidencias electrónicas”. 3 de julio de 2013.
URL: http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tipo=N&codigo=N0051412#.V9niPJiLRhE
AENOR. “UNE 71505-3:2013. Tecnologías de la Información (TI). Sistema de Gestión de Evidencias Electrónicas (SGEE). Parte 3:
Formatos y mecanismos técnicos”. 3 de julio de 2013.
URL: http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tipo=N&codigo=N0051413#.V9nitpiLRhE
AENOR. “UNE 71506:2013. Tecnologías de la Información (TI). Metodología para el análisis forense de las evidencias electrónicas”.
3 de julio de 2013.
URL: http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tipo=N&codigo=N0051414#.V9ni-ZiLRhE
AENOR. “UNE 197001:2011 Criterios generales para la elaboración de informes y dictámenes periciales”. 23 de marzo de 2011.
URL: http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tipo=N&codigo=N0046980#.V9nhHpiLRhE
Anguas Balsera, Joaquín. “El peritaje en informática en el marco de las disciplinas que le son afines. Puntos de contacto y perfil de
la actividad”.
URL: http://www.anguas.com/e1m6/Docs/LA_LEY_Cuadernos_de_Probatica_Posicion_del_Perito_en_Informatica.pdf
Dittrich, David; y otros. “Análisis Forense de Sistemas”. GNU/Linux, UNIX. Contribución Congreso HISPALINUX
URL: http://www.it-docs.net/ddata/470.pdf
Fabro, Mark; y Eric Cornelius. “Recommended Practice: Creating Cyber Forensics Plans for Control Systems”. DHS (EEUU), agosto
de 2008.
URL: https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/Forensics_RP.pdf
Folkerth, Lew. “Forensic Analysis of Industrial Control Systems”. SANS Institute. InfoSec Reading Room, 24 de septiembre de 2015.
URL: https://www.sans.org/reading-room/whitepapers/forensics/forensic-analysis-industrial-control-systems-36277
Garnett, Brad. “Intro to Report Writing for Digital Forensics”. SANS. Bitácora electrónica “Digital Forensics and Incident Response”,
25 de agosto de 2010.
URL: https://digital-forensics.sans.org/blog/2010/08/25/intro-report-writing-digital-forensics#
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 65
Garrie, Daniel B. “How to Evaluate a Digital Forensic Report – Part 1”. Thomson Reuters. Bitácora electrónica “Legal Solutions”.
Sección “Practice of Law. Best practices and solutions for legal professionals”, 7 de enero de 2014.
URL: http://blog.legalsolutions.thomsonreuters.com/practice-of-law/evaluate-digital-forensic-report-part-1/
Garrie, Daniel B. “How to Evaluate a Digital Forensic Report – Part 2: Daubert”. Thomson Reuters. Bitácora electrónica “Legal
Solutions”. Sección “Practice of Law. Best practices and solutions for legal professionals”, 14 de enero de 2014.
URL: http://blog.legalsolutions.thomsonreuters.com/practice-of-law/evaluate-digital-forensic-report-part-2-daubert/
Garrie, Daniel B. “How to Evaluate a Digital Forensic Report – Part 3: Experts”. Thomson Reuters. Bitácora electrónica “Legal
Solutions”. Sección “Practice of Law. Best practices and solutions for legal professionals”, 21 de enero de 2014.
URL: http://blog.legalsolutions.thomsonreuters.com/practice-of-law/evaluate-digital-forensic-report-part-3-experts/
Garrie, Daniel B. “How to Evaluate a Digital Forensic Report – Part 4”. Thomson Reuters. Bitácora electrónica “Legal Solutions”.
Sección “Practice of Law. Best practices and solutions for legal professionals”, 28 de enero de 2014.
URL: http://blog.legalsolutions.thomsonreuters.com/practice-of-law/evaluate-digital-forensic-report-part-4/
Hernando, Sergio. “Mi primera conexión con Power Line Communications (PLC)”. Bitácora electronica “Sergio Hernando. Seguridad
de la Información, Análisis Forense y Auditoría de Sistemas”, 6 de junio de 2007.
URL: http://www.sahw.com/wp/archivos/2007/06/06/mi-primera-conexion-con-power-line-communications-plc/
Kelley, Melia. “Report Writing Guidelines”. Digital Forensic Investigator News, 30 de mayo de 2012.
URL: http://www.forensicmag.com/articles/2012/05/report-writing-guidelines
66 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
Kent, Karen; y otros. “Guide to integrating forensic techniques into incident response“. National Institute of Standards and
Technology (NIST) Special Publication 800-86. Agosto de 2006.
URL: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf
Kent, Karen; y Murugiah Souppaya. “Guide to computer Security Log Management”. National Institute of Standards and Technology
(NIST) Special Publication 800-92. Septiembre de 2006.
URL: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-92.pdf
López Rivera, Rafael. “Las cuatro funciones de cobertura de un informe pericial”. Bitácora electrónica “Perito IT. Peritaje Informático
y Tecnológico”, 18 de abril de 2014.
URL: https://peritoit.com/2014/04/18/las-4-fcs-de-un-informe-pericial/
López Rivera, Rafael. “Siete debilidades del informe pericial”. Bitácora electrónica “Perito IT. Peritaje Informático y Tecnológico”, 18
de abril de 2016.
URL: https://peritoit.com/2016/04/18/7-debilidades-del-informe-pericial/
López Rivera, Rafael. “La cadena de custodia es una garantía formal, pero no es una prueba”. Bitácora electrónica “Perito IT.
Peritaje Informático y Tecnológico”, 9 de septiembre de 2014.
URL: https://peritoit.com/2014/09/09/la-cadena-de-custodia-es-una-garantia-formal-pero-no-es-una-prueba/
National Institute of Justice (USA). “Crime Scene Investigation: Guides for Law Enforcement. Glossary”.
URL: http://www.nij.gov/topics/law-enforcement/investigations/crime-scene/guides/pages/glossary.aspx
Páez, Rafael. “Análisis forense en sistemas Linux – Obteniendo información (Parte 1)”. S2Grupo. Bitácora electrónica “SECURITY
A(r)TWORK”, 29 de mayo de 2012.
URL: http://www.securityartwork.es/2012/05/29/analisis-forense-en-sistemas-linux-obteniendo-informacion-parte-1/
Reino de España. “Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil”. Boletín Oficial del Estado de 28 de octubre de 2015.
URL: https://www.boe.es/buscar/pdf/2000/BOE-A-2000-323-consolidado.pdf
Reino de España. “Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. Boletín Oficial del Estado de 28 de abril de
2015.
URL: https://www.boe.es/buscar/pdf/1995/BOE-A-1995-25444-consolidado.pdf
Reino de España. “Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el
fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica”.
URL: https://www.boe.es/boe/dias/2015/10/06/pdfs/BOE-A-2015-10725.pdf
Reino de España. “Real decreto de 14 de septiembre de 1882 por el que se aprueba la Ley de Enjuiciamiento Criminal”. Boletín
Oficial del Estado de 6 de octubre de 2015.
URL: https://www.boe.es/buscar/pdf/1882/BOE-A-1882-6036-consolidado.pdf
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 67
Silverhack. “Introducción a la informática forense en entornos Windows 1ª parte”. ElHacker.net, 8 de agosto de 2006.
URL: https://www.elhacker.net/InfoForenseWindows.html
Stirland, Joe; y otros. “Developing Cyber Forensics for SCADA Industrial Control Systems”. 24 de mayo de 2016.
URL: https://www.researchgate.net/publication/266477470_Developing_Cyber_Forensics_for_SCADA_Industrial_Control_Systems
Vaishnavi, Vijay; y Bill Kuechler. “Design science research in information systems”. 24 de enero de 2004 (actualizado el 15 de
noviembre de 2015).
URL: http://desrist.org/desrist/content/design-science-research-in-information-systems.pdf
68 Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial
AUTORES Y COLABORADORES
Nombre Compañía Autor Colaborador Revisor
Miguel García-Menéndez CCI
José Valiente CCI
Paloma Llaneza Experta CCI - Razona Legaltech
Joan Figueras Experto CCI - BROSA
Claudio Caracciolo Experto CCI - Eleven Paths
Gustavo Presman Experto CCI - Estudio de Informática Forense
Hector Puyosa Experto CCI - SABIC
Ignacio Álvarez Experto CCI - SIEMENS
Javier Calmuntia 3M
Covadonga Villacorta Accenture
David Pérez Accenture
Samuel Linares CCI /BAH
Ignacio Paredes CCI /BAH
Rafael Hernández Cepsa
Sergio Lozano Check Point
Eutimio Fernández Cisco
Jose Valdelvira CLH
Rafael Picazo CLH
Miguel Ángel Abad CNPIC
Jorge Cerqueiro COITVIGO
Arturo Trujillo DEKRA
Antonio Santana Enel
David Saez Enel
Ricardo Cañizares Eulen Seguridad
María Pilar Torres Everis
Jose Luis Laguna Fortinet
Pablo Barreiro Gas Natural Fenosa
Andreu Bravo Gas Natural Fenosa
Javier Zubieta GMV
Ricardo González Grupo TSK
Luis Aguiló Iberdrola
Eusebio García Iberdrola
Marcos Gómez Incibe
Carlos Asún Initec
Juana Higuera Initec
Buenas prácticas en el Análisis Forense de Sistemas de Automatización y Control Industrial 69