Fase 3 Actividad Individual
Informática Forense
Erika Liliana Silva Torres
Universidad Nacional Abierta y a Distancia ''UNAD''
CEAD Duitama, Boyacá
elsilvato@unadvirtual.edu.co
Resumen— Este documento pretende abordar la temática
correspondiente a la Unidad Uno de Informática Forense
sobre delitos informáticos que existen y las posibles penas
que podría acarrear; además de estudiar las fases de
identificación, llevándolo a la vida real gracias al caso de
estudio de la Ferretería CASA MODERNA, en donde se
sospecha de un posible sabotaje de la información junto con
una infiltración de la misma por parte de uno de sus
empleados. Con lo anterior se requiere dar una correcta
solución a dicha problemática, teniendo en cuenta los
inconvenientes que la misma ha generado hasta el día de hoy
para la empresa. Cabe anotar que existen muchos tipos de
delitos informáticos que cada día se hacen más comunes y
que además van en aumento, es por ello que se demostrara
las diferentes herramientas a la hora de proteger la
información.
Palabras clave— Amenazas, Riesgos, Ataques, Malware,
Delito Informático, Hacker, Claves, Información.
Abstract— This document aims to address the issue
corresponding to Unit One of Forensic Computing on
computer crimes that exist and the possible penalties that
could result; In addition to studying the identification phases,
taking it to real life thanks to the study case of the CASA
MODERNA hardware store, where it is suspected of a
possible sabotage of the information along with an
infiltration of it by one of its employees. With the above, it is
necessary to give a correct solution to said problem, taking
into account the inconveniences that it has generated until
today for the company. It should be noted that there are many
types of computer crimes that are becoming more common
every day and are also increasing, that is why it will
demonstrate the different tools when it comes to protecting
information
Keywords— Threats, Risks, Attacks, Malware, Computer Crime,
Hacker, Keys, Information
 INTRODUCCIÓN
Es indudable que la computadora se ha convertido en una
herramienta indispensable para el desarrollo humano, pero es
más sorprendente la rapidez con la que la gran nube
(internet) ha logrado cautivar a millones de personas, gracias
a la facilidad de sus servicios como el e-mail hasta servicios
de compras en la web, lo cual ha facilitado el desplazamiento
a dichos lugares, hoy en día se puede hasta cancelar facturas
de servicios públicos sin moverte de casa; pero que tan
segura esta la información en la web?; a lo largo del tiempo
así como esta gran nube ha evolucionado también lo han
hecho los delincuentes informáticos que han desarrollado
maneras de poder ingresar a nuestras claves cifradas y robar
información de acceso como cuentas de correo, redes
sociales y contraseñas de acceso a plataformas bancarias.
Es por ello que el papel que tiene la informática forense es
principalmente preventivo y ayuda, mediante diferentes
técnicas a probar que los sistemas de seguridad que tenemos
implementados sean los adecuados para poder corregir
errores y poder mejorar el sistema; además de conseguir la
elaboración de políticas de seguridad y la utilización de
determinados sistemas, para mejorar tanto el rendimiento
como la seguridad del sistema de información.
Ahora bien, gracias al estudio del caso de la Ferretería CASA
MODERNA, propósito de este trabajo de investigación, se
podrá aplicar claramente cada uno de los conceptos y
herramientas que encierra la Informática Forense.
 DESARROLLO DE LA ACTIVIDAD CASO DE
ESTUDIO
La Ferretería CASA MODERNA se ha caracterizado por ser
una empresa innovadora en la venta de artículos para la
construcción, mampostería y muebles en general, la empresa
fue pionera en la ciudad de Pasto en prestar este tipo de
servicios y se posicionó desde 2001 como la de mayor
prestigio en la ciudad; la edificación donde funciona consta
de 4 pisos los cuales tienen adecuada una red LAN, cada piso
tiene su propia sub red con dominio 192.168.x.y donde (x)
identifica al piso (y) e identifica el host en la red , la red se
extiende a toda la edificación. La red presta servicios
integrales internos con software propio y centralizado en el
host 8 (PC microtorre G1 280 HP) del piso 2 además de
proveer Internet a la organización.
El gerente en sus proyecciones de negocios ha observado que
a pesar de la competencia el negocio es sostenible, pero,
desde hace 8 meses a la fecha actual, el margen de ganancia
ha venido disminuyendo encontrando en su mayor
competidor la ferretería CONSTRUYENDO HOGAR, su
mayor rival en ventas. El dueño no encuentra explicación en
las siguientes acciones:
 Los productos que manejaba de manera exclusiva en
su almacén ya los está adquiriendo la competencia y
los ofrece con semanas de anticipación antes de que
le lleguen a la ferretería
 Algunos de sus proveedores dejaron de
comercializar con Casa Moderna, insinuando que la
ferretería no tiene un inventario de productos nuevos
Fase de Identificación.
Al instante de proceder a identificar el caso de estudio y
estando en el lugar de la escena donde se realizó el ataque
informático, se debe rotular con sus respectivas
características físicas el elemento que va a ser objeto del
análisis forense, para preservar el elemento que puede ser
desde una Usb o un disco duro de un ordenador hasta un
conjunto de discos de un servidor, un juego de cintas o varias
computadoras de escritorio y portátiles de la organización. A
continuación, se mostrará el formato que se pretende llevar
para levantar la información señalada.

 Los servicios y productos que ofrece su rival tienen

menor costo y adicionan sin valor algunos servicios
o promociones y las promociones de Construyendo
hogar han mejorado en relación a Casa Moderna.

 Y el detalle más particular es que algunos ex

empleados de Casa Moderna trabajan para la
competencia.

El gerente de CASA MODERNA tiene a su cargo 30

empleados y ha contratado a 3 más hace 8 meses, uno en el
área comercial (hace 8 meses), otro en R.R.H.H (recursos
humanos, hace 6.5 meses) y otro en el área de mantenimiento
(hace 4 meses) y cada uno de ellos maneja una host (PC
micro torre G1 200 HP) conectado a la LAN y poseen
internet en sus oficinas.

El gerente sospecha que unos de estos nuevos funcionarios

están filtrando información a la competencia, pero no tiene
indicios de cómo encontrar al sospechoso y como reunir las
pruebas necesarias para inculpar a alguno de ellos. Figura 1. Formato Recolección de Información

Cabe señalar que esta fase de identificación, esta compuesta

I. SOLUCION DEL CASO por etapas, las cuales relaciono a continuación:

Al realizar un análisis e  Etapa 1. Levantamiento de la información: Es un

identificación del caso propuesto, se tipo de documento en donde el administrador del
puede inferir que este se considera equipo afectado notifica de la ejecución de un
como un “Sabotaje ejecutivo” ya incidente y para ello solicita al equipo de seguridad
que, a través de espionaje, entrega e la revisión del mismo, en este se incluye toda la
intercambio de información, se información necesaria para dar inicio al proceso de
presume que algunos empleados análisis. La información que debe contener el
están inconformes con la empresa, documento es la siguiente:
para la cual inicialmente han tenido
relación contractual, en este caso la  Descripción detallada del delito
Ferretería CASA MODERNA.  informático.
 Información general.
Los resultados obtenidos tras el proceso investigativo se  Información sobre el equipo afectado.
ilustran a continuación:
 Etapa 2. Asegurar la escena: Este paso es
considerado uno de los más importantes ya que es la
identificación de la evidencia presentada en la
escena del crimen, la misma que estar sujeta a todos
los procesos necesarios para la presentación de
Fases de Investigación Forense Aplicadas al Caso.
 resultados finales y se clasifica según el tipo de Seleccionamos el idioma es_ES.UTF-8 Spanish|Español, y
dispositivo y el modo de almacenamiento. pulsamos Enter.

Fase de Validación y Preservación.

Con el elemento identificado se procede a realizar una

imagen exacta del contenido de la evidencia asignando un
código único correspondiente a una combinación única de
bytes que constituye la totalidad del medio en observación.
Este código de validación ha de ser lo suficientemente
complejo como para evitar vulneraciones en la información
rescatada e impedir que cualquier auditor pueda por su
cuenta verificar la autenticidad de la imagen tomada, es
decir, crear un código que solamente personal calificado y
legalmente autorizado pueda manipular para proteger el
elemento a ser analizado; esto con el fin de establecer una
cadena de custodia consistente. Desde este momento ya se
pueden efectuar copias exactamente iguales de la imagen a
los efectos de que diferentes actores puedan conservar una Seleccionamos “start Clonezilla/iniciar Clonezilla”, pulsamos
copia de seguridad. Al igual que en la fase anterior está Enter
compuesto por etapas para su desarrollo y estas son:
 Etapa 1. Copias de la Evidencia: Como inicio del
desarrollo de esta etapa se debe realizar dos copias
de las evidencias obtenidas, además de generar una
suma de comprobación de la integridad de cada
copia, mediante el uso de funciones hash tales como
MD5o SHA1. Se debe incluir firmas en la etiqueta
de cada copia de evidencia sobre el propio medio de
almacenamiento como CD – ROM o DVD,
inscribiendo la fecha y hora de creación de la Luego seleccionamos el modo en que se usara Clonezilla,
misma. "device-image Disco/Partición a/desde Imagen"

 Etapa 2. Cadena de custodia: Seguido de lo

anterior tenemos la siguiente etapa no más
importante que la anterior, correspondiente a la
cadena de custodia en donde se establecen las
responsabilidades y controles de cada una de las
personas que manipulen la evidencia

 CREACION DE IMAGEN DE DISCO DURO

El procedimiento para llevar a cabo el proceso de creación de

Seguido señalamos la ubicación en donde se guardará la
imagen de disco duro se evidenciará a continuación:
imagen generada del dico duro o partición en este caso será
"local_dev" pulsamos Enter.
Luego de descargar el fichero ISO, procedemos a ejecutar
Clonezilla y seleccionamos Default settings, VGA 800x600,
pulsamos Enter .
A continuacion, el sistema genera una lista de particiones Seleccionamos “Saveparts”, pulsamos Enter.
reconocidas y disponibles como son sda, sdb y adc.

Editamos el nombre de la carpeta donde Clonezilla enviara

En este punto seleccionamos la particion de destino donde se todos los ficheros de la imagen, pulsamos Enter.
guardara la imagen sdc1 10G_ntfs_BACKUP, presionamos
(ok).

Señalamos la particion a la que se realizara la copia de

seguridad (imagen) sdb1, presionamos Enter.

Como acto seguido seleccionamos la carpeta o directorio e el

que se hará la copia de la particion o disco duro.

Despues seleccionamos el programa de clonacion –q2

Prioridad: partclone partimage DD, pulsamos Enter.

Clponezilla monta la particio seleccionada como

/home/partimag

Procedemos a configurar los parametros de compresion para

Ubicamos el modo de ejecucion Expert y pulsamos (Ok). Clonezilla – z2 (compresión bzip2), pulsamos Enter.
Procedemso a indicar el tamaño (en MB) de los ficheros de
imagen que se generarán durante el proceso.

Seleccionamos la opción -sfsck Omitir la comprobación del El sistema automáticamente mostrará el progreso hasta llegar
sistema de archivos fuente, y pulsamos (ok). al 100% como se muestra en la imagen.

Escogemos la opción Si, comprobar la imagen grabada, si se

busca comprobar la integridad del archivo obtenido o de lo
contrario seleccionamos –scs y pulsamos (OK).

Como anteriormente seleccionamos la opción de realizar

Seleccionamos la opción –senc No cifrar la imagen,
verificación de la imagen creada, el sistema mostrara el
pulsamos (OK).
resultado de dicha comprobación. Al finalizar presionamos
Enter.

Indicamos la acción a realizar cuando Clonezilla finalice el

proceso de clonación, pulsamos (OK).

Para finalizar, seleccionamos la copia de la imagen de la

partición seleccionada con “Y” pulsamos Enter.
 II. CREACION DE IMAGEN DE DISCO
DURO
Para la creación de la imagen en Disco Duro, debemos
descargar un programa llamado FTK Imager.
Luego de estar ya instalado el programa procedo a ejecutarlo.
Selecciono la opción de Capture Memory ubicada en la barra
de herramientas del programa.
A continuación selecciono la ubicación donde se guardara la
imagen obtenida de la memoria volátil, le asigno un nombre
que la identifique, oprimo el botón Capture Memory.
En este punto el sistema me muestra el proceso de avance,
clic en cerrar.
Una vez terminada la generacion del backup de la memoria
volatil, se ingresapor el menu File/Open file se localiza la
imagen previamente creada.
Procedo a seleccionar finish.
El progrrama me muestra el contenido recopilado dentro de
la memoria volatil del equipo.
III. CONCLUSIONES
Gracias a la elaboración de este trabajo investigativo se logró
reconocer las temáticas relacionadas a la Unidad Uno
correspondiente a Delitos Informáticos, tomando como
referencia un caso sobre un sabotaje en la información de la
empresa Ferretería Casa Moderna.
Por otro lado, se reforzó los conocimientos acerca de la
creación de una imagen de disco utilizando herramientas
esenciales como Colnezilla y FTK Imager; todo fue gracias
al montaje realizado en máquina.
Finalmente, concluyo que la Informática Forense llevando la
aplicación a la vida real nos brinda muchas utilidades a la
hora de proteger no solo la información sino también
nuestros datos personales.
IV. BIBLIOGRAFIA
[1] Zuccardi, G., Gutierrez J. Informática Forense (PDF).
Universidad Javeriana. (09 octubre de 2018). Disponible
en
http://pegasus.javeriana.edu.co/~edigital/Docs/Informati
ca%20Forense/Informatica%20Forense%20v0.6.pdf
[2] iRecovery Data Power. Análisis Forense en 5 Etapas.
[En linea]. Página Web iRecovery Data Power. (09
octubre de 2018). Disponible en
https://www.irecoverydata.es/etapas-del-analisis-forense/