EXAMEN FINAL

INFORMATICA FORENSE
LIC. BSC. ROLANDO ROCHA ROSALES

Estudiante: Valentin Yujra Suri

Carrera: Ingeniería de Sistemas

Debe elaborar un diseño para:

A) INSTALACIÓN DE UN LABORATORIO FORENSE INFORMÁTICO TOME EN CUENTA

DETALLES COMO INFRAESTRUCTURA, EQUIPOS, Y OTROS.

R: Diseño del laboratorio de Ciencias Forenses Informático

Analizaremos las condiciones físicas, ambientales e infraestructura para la

adecuación del Laboratorio, de la misma manera el hardware y software que será
utilizado en análisis forense digital.

Instalaciones

Las instalaciones deben de garantizar la integridad y la seguridad de la evidencia,

es por esto que contará con medidas de seguridad que permitan el acceso solo a
personal autorizado.

Seguridades físicas. Acceso mediante sistema biométrico, y cerradura, previo a la

identificación de la persona que desea ingresar. También, contará con un sistema de
video de circuito cerrado en todas las áreas, que grabará los acontecimientos dentro
del laboratorio durante las 24 horas, y se instalará un sistema de alarma con sensor de
movimientos que se encontrará intercomunicado con la estación de policía Boliviana
más cercana y con un equipo de guardianía privada.

Todo el personal que trabaja dentro de las instalaciones deberá de llevar la

credencial otorgada por el laboratorio en todo momento y en un lugar visible. Por lo
general no se aceptan visitas al laboratorio, pero en el caso de existir, esta deberá
presentar una identificación y será anunciado con la persona con quien desea
comunicarse para luego ser atendido en el área de Control de Acceso y Entrada.

Condiciones ambientales. El laboratorio debe poseer las condiciones ambientales ideales

para no invalidar el resultado de los análisis ni la calidad requerida, así mismo el estado de las
evidencias digitales originales.
Evitar la interferencia electromagnética, para lo cual se recomienda el uso de jaulas de
Faraday, y para evitar saltos de voltaje se recomienda el uso de UPS y un generador
eléctrico. El ruido y la vibración son contaminantes que pueden evitarse utilizando
materiales aislantes, bolsas electroestáticas y guantes en la construcción del laboratorio.

El sistema de climatización e instalación de filtros evita el paso de polvo, la humedad,

el sobrecalentamiento y deterioro de los equipos de cómputo, es recomendable
manejar un correcto sistema de refrigeración con una temperatura estable de 22°C y
mantener un límite de humedad máximo del 65% dentro de las instalaciones.

Sistema de extinción de incendios que este adecuado al material eléctrico y

magnético, que se va a manejar dentro de las instalaciones, para tratar de causar el
menor impacto en caso de su uso, tales como polvo químico seco o bióxido de
carbono, espuma, entre otros.

Despliegue de infraestructura en el interior del laboratorio. Las instalaciones

deberán contar con elementos esenciales, tales como: Cableado de red con puntos de
red en todas las áreas del laboratorio, cableado telefónico, UPS autónomo o
generador eléctrico en caso de que exista algún corte de energía eléctrica. Con
respecto al lugar las habitaciones deben ser en lo posible sin ventanas a la parte
externa del laboratorio y con divisiones para las distintas áreas.

En el diseño que planteamos las instalaciones estarán divididas en tres áreas:

almacenamiento, mecánica y análisis.

El área de almacenamiento: Contará con un cubículo previo con una puerta de

acceso, con seguridad múltiples contraseñas, a la ubicación de los armarios de
evidencia, contará con un Área de Control de Acceso y Entrada, que será el lugar
donde se atenderá a las personas que soliciten alguna prueba para su análisis, ningún
personal sin autorización podrá acceder más allá del Área de Control de Acceso y
Entrada. Los armarios de almacenamiento de evidencia que llega al laboratorio para el
proceso de investigación y para su almacenaje posterior tendrán acceso restringido y
se registrará la hora y el nombre de quien acceda a ella.

Se tomarán precauciones para el correcto almacenamiento de la evidencia

dependiendo de la naturaleza de la misma, usando contenedores antiestáticos y/o
esponja antiestática, lo que ayudará a aislar de fuentes eléctricas y de campos
magnéticos, que puedan corromper la información contenida en los dispositivos
digitales durante su almacenamiento y transporte.

En el área mecánica: Se realizará el desmontaje, ensamblaje y manipulación física de

un computador, en caso de que se necesite analizar un computador completo, esto
es para que sus partes puedan ser analizadas por separado si las circunstancias lo
ameritan. Para llevar a cabo la tarea de desmontaje, se dispondrán de herramientas
necesarias, así como de equipos especializados.

El área de análisis: Tendrá tres puestos de trabajo cada uno con un armario
respectivo. Todas las áreas serán de libre acceso, solo se contará con una puerta de
entrada principal a las instalaciones del laboratorio.

Para llevar a cabo todas las tareas que están incluidas en el análisis de la evidencia,
esta área contará con las herramientas de análisis forenses que se dispongan tanto
 hardware como software. Existirán dos zonas, una de la cuales tendrá acceso a
internet en la cual se podrán realizar investigaciones, que se necesiten dentro del
proceso de análisis, y la otra zona no tendrá
acceso a internet para evitar cualquier intervención externa en el análisis de la
evidencia.

Equipos informáticos
T

T T

El conjunto de equipos de trabajo en el laboratorio de Ciencia Forense Digital, integra

herramientas especializadas, computadores de escritorio y portátiles para llevar a cabo
el proceso de análisis forense.

Herramientas de duplicación de discos con alta velocidad de copiado, conectividad

con las diferentes interfaces de discos duros, adaptadores, portabilidad, esto permitirá
realizar copias de discos duros los cuales se usarán para los análisis de las pruebas de
una manera fácil y rápida. Además, se contará con dos tipos de equipo en las
instalaciones el equipo base que será una desktop y un equipo portátil que será una
laptop con similares características que el equipo base.

Software utilizado

Existen varios tipos de herramientas entre las cuales hemos escogido dos, que son Deft-
Exra (software libre) y Encase (software privado) las cuales cumplen con características
importantes como: Clonación de discos, comprobar integridad criptográfica, dar
información del sistema, adquisición en vivo, recuperación de contraseñas, análisis
forense en redes, análisis forense en navegadores, búsqueda de archivos, utilitarios
extras, entre otros. Se puede hacer uso de software complementario si fuese necesario
para las tareas que no puedan desempeñar estas dos herramientas.
Conclusiones

Para la implementación del laboratorio de Ciencia Forense Digital se necesita una

inversión de la cual el mayor porcentaje sería destinado a la adquisición de hardware y
software, el porcentaje restante se utilizará en seguridad y adecuación del laboratorio
como sistemas de alarma, sistema de climatización, entre otros.

B) UN MALETÍN O MALETA DE ACCIÓN DEL INFORMÁTICO FORENSE, DESCRIBA QUE CONTENIDO

DEBERÍA TENER, Y LA FUNCIONALIDAD DE CADA ELEMENTO.

R: Dividimos en dos grupos Hardware y Software

Hardware:

Discos Duro Externos: Disco Duro de buena capacidad para realizar la clonación entera del
disco duro que es la evidencia.

Guantes Electro estáticos: Evitar anular la evidencia por las cargas eléctricas

Bolsas electroestáticas: Para llevar los dispositivos que puedan almacenar alguna información,
discos Duros, Flash memoria, Celular, memorias SD, cámaras fotografías, Tablet, DVR etc.

Cargador de Celular universal: Cargador para evitar que el Celular sea una evidencia se apague
Lector de Discos Duro: Lector de Discos Duros para hacer la clonación o la lectura de disco
local

Lector externo de DVD: Lector para poder realizar boot para usar herramientas de quitar
contraseñas del Sistema Operativo.

Multi Boot : Disco Externos o Flash memory donde incluya multiples herramientas de
recuperación de Datos.

SOFTWARE:

Sistemas Operativos Booteables: Actualmente existen sistemas operativos todo en uno,

que disponen de la gran mayoría de herramientas de informática forense que veremos a
continuación.

CAINE
Es un sistema operativo completo que está orientado específicamente a la informática forense,
está basado en Linux e incorpora la gran mayoría de herramientas que necesitaremos para
realizar un análisis forense completo. Dispone de una interfaz gráfica de usuario, 

Kali Linux

Es uno de los sistemas operativos relacionados con seguridad informáticas más utilizados, tanto
para pentesting como también para informática forense, ya que en su interior tenemos una gran
cantidad de herramientas preinstaladas y configuradas para ponernos a realizar un análisis
forense lo antes posible.

DEFT Linux y DEFT Zero

El sistema operativo DEFT Linux está también orientado específicamente a análisis forense,

incorpora la gran mayoría de herramientas de CAINE y Kali Linux, es una alternativa más que
tenemos disponible y que podemos utilizar. Lo más destacable de DEFT es que dispone de una
gran cantidad de herramientas forenses listo para utilizar.

Autopsy y The Sleuth Kit

La herramienta Autopsy es una de las más utilizadas y recomendadas, nos permitirá localizar

muchos de los programas y plugins de código abierto, es como una biblioteca de Unix y utilidades
basadas en Windows, el cual facilita enormemente el análisis forense de sistemas informáticos.

Magnet Encrypted Disk Detector

Esta herramienta funciona a través de la línea de comandos, verifica de manera rápida y no

intrusiva los volúmenes cifrados en un ordenador, para saber si existen para posteriormente
intentar acceder a ellos con otras herramientas. La última versión disponible es la 3.0, y es la que
se recomienda utilizar, además, es recomendable usar el sistema operativo Windows 7 o
superior. 
Magnet RAM Capture y RAM Capturer

Magnet RAM Capture es una herramienta que está diseñada para obtener la memoria física del
ordenador donde la utilicemos. Al usarla, podremos recuperar y analizar datos muy valiosos que
se almacenan en la memoria RAM y no en un disco duro o SSD. Es posible que, en determinados
casos, tengamos que buscar la evidencia directamente en la memoria RAM, y debemos recordar
que la RAM es volátil y que se borra cada vez que apagamos el equipo.

Magnet Process Capture

MAGNET Process Capture es una herramienta gratuita que nos permitirá capturar la memoria de
procesos individuales de un sistema, es decir, si necesitamos saber los datos que está utilizando
un determinado proceso de nuestro sistema operativo, podremos hacerlo con esto.

Magnet Web Page Saver y FAW

MAGNET Web Page Saver es una alternativa a la anterior, y se encuentra actualizada por lo que
dispondremos de todas las mejoras. Esta herramienta es perfecta para capturar cómo está la web
en un determinado momento, es especialmente útil cuando queremos mostrar una web, pero no
tenemos conexión a Internet. 

FAW o Forensics Acquisition of Websites, es una herramienta que nos permite descargar páginas
web completas para su posterior análisis forense.

Bulk_extractor

Bulk_extractor es una herramienta informática forense que nos va a permitir escanear la imagen
de un disco, un archivo o un directorio de archivos.

LastActivityView

LastActivityView es una herramienta de software portable para ver la última actividad registrada
en su PC.

FireEye RedLine

FireEye es una herramienta de seguridad Endpoint que proporciona capacidades de investigación

de hosts a los usuarios para encontrar signos de actividad maliciosa a través de la memoria y el
análisis de archivos. 

Wireshark y Network Miner

Wireshark es actualmente uno de los mejores analizadores de protocolos de redes que existen, es
el más conocido y utilizado, multiplataforma (Windows, Linux, FreeBSD y más).

Network Miner es muy similar a Wireshark, es un analizador forense de red para Windows, Linux
y MAC OS X. Esta herramienta se utiliza para detectar SO, nombre de host, sesiones, y qué
direcciones Ip y puertos se han usado en la captura de datos. 
 C) UN DICTAMEN PERICIAL COMPLETO, SOBRE UN TELÉFONO MÓVIL, AL CUAL SE LE PIDE
COMO PUNTO DE PERICIA:
“PROCÉDASE A LA EXTRACCIÓN DE TODAS LAS IMÁGENES Y VIDEOS DEL TELÉFONO
MÓVIL REMITIDO”

Los celulares móviles tipo smartphone o tablet, tanto de uso personal como profesional, son los
instrumentos de comunicaciones diarias. Tanto o más relevante que las comunicaciones por
correo electrónico lo son las que se producen por el uso de aplicaciones móviles, ya sean de
mensajería instantánea (WhatsApp, Telegram y similar) como de redes sociales (Twitter,
Instagram o Facebook). En ellas se ejecuta y almacena información únicamente en el dispositivo
móvil utilizado. Los móviles suelen ser las piezas clave de la investigación.

Al igual que para los ordenadores, existen multitud de herramientas especializadas en el análisis
forense de los dispositivos móviles que facilitan el acceso y copiado de su contenido, preservando
su originalidad y adaptadas a cada modelo de sistema operativo.

Básicamente hay que considerar estos 3 puntos: adquisición física, adquisición del sistema de
ficheros y adquisición lógica.

Adquisición física: es el método más utilizado habitualmente. Consiste en realizar una réplica
idéntica del original por lo que se preservan la totalidad de las evidencias. Este procedimiento
presenta la ventaja de que es posible buscar elementos eliminados.

• Adquisición lógica: consiste en realizar una copia de los objetos almacenados en el dispositivo.

• Adquisición del sistema de ficheros: permite obtener todos los ficheros visibles mediante el
sistema de ficheros, lo que no incluye ficheros eliminados o particiones ocultas. Dependiendo del
tipo de investigación puede resultar suficiente utilizar este método lo que supone una
complejidad menor que la adquisición física. Para llevarlo a cabo se aprovecha de los mecanismos
integrados en el sistema operativo para realizar el copiado de los ficheros.

Extraer información variada a la tarjeta SD registro de llamadas, listado de contactos y de

aplicaciones instaladas, mensajes de texto y multimedia, también se puede extraer de las SIM
CARD que es una tarjeta que cuenta con un chip incorporado en donde se guarda toda la
información sobre tu línea de telefonía móvil (identificación del área local, identificación del
abonado, clave de autentificación y agenda de contactos)