INFORMÁTICA FORENSE II

Miguel Quintero

EJE 4
Propongamos

Fuente: GettyImages/ 1053936332

 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Técnicas anti forenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Qué son las técnicas anti forenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Metodologías utilizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Eliminación de carpetas y archivos (textos, imágenes, aplicaciones) . . . . . 8

¿Cómo es el proceso de eliminación en Windows? . . . . . . . . . . . . . . . . . 9

Papelera de reciclaje en el sistema operativo Windows. . . . . . . . . . . . . . 10

Ubicación de la papelera de reciclaje . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Cómo proteger las contraseñas utilizadas . . . . . . . . . . . . . . . . . . . . . . . . . 14

Tipos de contraseña . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Contraseñas por defecto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Para qué debemos utilizar Esteganografía . . . . . . . . . . . . . . . . . . . . . . . . . 18

Estegoanálisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Como ocultar datos en la estructura de sistemas de archivo . . . . . . . . . . . 23

Técnicas de ofuscación de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Limpiando la presencia en el sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Eliminando datos y su metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

ÍNDICE

Utilizando métodos de Cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Evitando el uso de footprint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
 Introducción

Cada día los atacantes aumentan sus acciones maliciosas, mejo-

ran sus prácticas y consiguen comprometer más equipos, los delitos
informáticos siguen en aumento día a día, esto es algo que para
todos es muy común, por eso el aumento de personal que se dedique
a investigar y cazar a los delincuentes cada día es más necesario, la
mayoría de empresas medianas y grandes ya cuentan con personal
INTRODUCCIÓN

capacitado para afrontar este tipo de delincuencia, porque cada

vez la información que maneja una empresa o una persona es más
delicada.

Pero como los atacantes han visto un crecimiento de investiga-

dores, están aprendiendo sus técnicas y las están utilizando en su
contra, para lograr evitar que los puedan incriminar, hacen uso de
lo mejor de cada una de estas técnicas para poder confundir a los
investigadores y hacerle cada vez más difícil encontrar información
que los pueda relacionar con la escena del crimen.

El objetivo principal de un delincuente informático es el de realizar

su ataque, pero no dejar rastros del ataque realizado, garantizando
que no los puedan ubicar, no siempre es posible borrar las huellas,
pero lo que si es cierto es que los delincuentes hacen uso de técnicas
que le permiten realizar un borrado de sus acciones, o al menos com-
plicar más las tareas de un investigador, estas técnicas son conocidas
como técnicas anti forenses, las cuales un investigador debe conocer
y manejar.
Técnicas anti forenses
 Qué son las técnicas anti forenses

Figura 1. Investigador forense

Fuente: Gettyimages/1069958404

Los investigadores forenses a lo largo de la vida profesional van desarrollando técnicas

y metodologías para poder llevar las investigaciones con muy buenos resultados, pero
de la misma manera los delincuentes también han desarrollado diferentes técnicas y
metodologías para hacer que la tarea del investigador se dificulte mucho más, teniendo
esto en cuenta podemos decir que las técnicas anti forenses son
un conjunto de procesos utilizados para evitar o entorpecer el Entorpecer
Dificultar el desarrollo normal
proceso investigativo, estos procesos están encaminados a: de una actividad o proceso.

• Complicarle al investigador la recolección de información.

• Hacerle difícil la tarea de encontrar evidencias.

• Lograr camuflar los rastros de las actividades ilegales

cometidas.

• Hacerle difícil al investigador la presentación de informes

precisos.

• Evitar que el investigador detecte que han utilizados herra-

mientas anti forenses.

• Utilizar herramientas que son propias de los investigadores

forenses para cometer sus ataques.

Informática forense II - eje 4 propongamos 5

 En conclusión las técnicas anti forenses son todas las actividades y procesos encamina-
dos a dificultar la tarea del investigador, estas técnicas actúan en contra de los procesos
de recolección, análisis de archivos, provocan que el investigador se desvié del verdadero
objetivo, el uso de estas técnicas conlleva a un impacto en la cantidad y sobre todo en
la calidad de la evidencia que pueda estar presente en la escena del crimen.

Lectura recomendada
Para profundizar en el tema le invitamos a
ingresar a la página principal del eje para
realizar la siguiente lectura complementaria:

Computer Anti-forensics Methods and Their

Impact on Computer Forensic Investigation

Elias Pimenidis

Metodologías utilizadas

Las metodologías que usan los atacantes para poder camuflar

sus actos ilícitos son variadas y están ligadas a las diferentes fases Camuflar
de un ataque. En la siguiente imagen podemos ver los diferentes Ocultar o disimular una cosa
para que no sea vista, o una
pasos de un ataque informático: acción o una intención.

Reconocimiento

Explotación

Obtener acceso

Mantener acceso

Borrado de rastros

Figura 2. Fases de un ataque

Fuente: propia

Informática forense II - eje 4 propongamos 6

 La metodología usada por los atacantes para poder entorpecer la tarea del investiga-
dor y así evitar ser capturados está compuesta por los siguientes pasos:

Reconocimiento Explotación Obtener acceso

Figura 3. Metodología
Fuente: propia

Para poder lograr que la metodología funcione de una manera muy eficaz los atacan-
tes implementan las siguientes técnicas:

• Eliminación carpetas y archivos (Textos, imágenes, aplicaciones).

• Protección de Contraseñas.

• Esteganografía.

• Utilización de los archivos de sistema para ocultar datos.

• Ofuscación.

• Borrado de datos y metadatos. Esteganografía

• Cifrado.
• Cifrado de protocolos de red utilizados en el ataque.
• Rootkits.
• Minimizar el uso de footprint por parte del investigador. Rootkits
• Detección de utilización de herramientas anti forenses.
• Explotación de los Bug de las herramientas forenses.
Es una técnica que permite entregar
mensajes camuflados dentro de un
objeto (contenedor), de forma que
no se detecte su presencia y pasen
inadvertidos.
Ofuscación
Significa estar en un estado que
impide pensar con claridad, lo que
podemos traducir como confusión.
Es un conjunto de herramientas
usadas frecuentemente por los in-
trusos informáticos o crackers que
consiguen acceder ilícitamente a un
sistema informático.

Informática forense II - eje 4 propongamos 7

 Eliminación de carpetas y archivos (textos, imágenes, aplicaciones)

Figura 4. Eliminación de archivos

Fuente: Gettyimages/991704184

Una de las técnicas anti forenses más usadas por los delincuentes es la eliminación de
archivos que los puedan incriminar, después de haber cometido los actos ilícitos la pre-
ocupación de los atacantes es poder borrar cualquier huella que pudieran haber dejado,
dentro de las tareas más importantes para los delincuentes están:

• Eliminar datos contenidos en los discos duros con los cuales los puedan relacionar.

• Eliminación de las huellas que dejan las herramientas utilizadas.

• Eliminación de archivos descargados por los delincuentes o también conocidos

como archivos fuentes.

• Eliminación de los registros.

• Eliminación de archivos huérfanos, DDL
• Borrar datos de forma segura y de no poderse
hacer, realizar procesos de sobre escritura para
intentar camuflar los datos originales.
DDL
Es un lenguaje proporcionado por el
sistema de gestión de base de da-
tos que permite a los programado-
res de esta llevar a cabo las tareas
de definición de las estructuras que
almacenarán los datos.

Este conjunto de procedimientos dificulta la tarea del investigador pero no quiere decir
que esta información no se pueda recuperar, lo que implica es que el investigador deberá
emplear más tiempo y recursos para poder recolectar las verdaderas evidencias.

Informática forense II - eje 4 propongamos 8

¿Cómo es el proceso de eliminación en Windows?

Figura 5. Eliminación de archivos

Fuente: Gettyimages/904124790

Básicamente cuando se realiza la acción de borrar un archivo en el sistema operativo

Windows, lo que realmente sucede es que el sistema lo marca como un espacio vacío
para que el sistema operativo lo utilice para escribir información, es importante dejar
claro que la forma como Windows marca los espacio de los archivos borrados depende
del sistema de archivos que se utilice:

Cuando se elimina un archivo en sistemas de archivos FAT:

• Se reemplaza la primera letra del nombre del

archivo eliminado por la secuencia hexadeci-
mal E5. Este código hexadecimal le indica al
sistema que el archivo fue eliminado.
• El clúster donde se ubica el archivo es marcado
como no utilizado, y está habilitado para que
el sistema escriba en él, importante dejar claro
que aunque el clúster se marque como vacío la
FAT
Es un sistema de archivos desa-
rrollado para MS-DOS, así como
el sistema de archivos principal de
las ediciones no empresariales de
Microsoft Windows hasta Windows
Me.

información seguirá estando ahí hasta que el

sistema la sobrescriba.

Informática forense II - eje 4 propongamos 9

 Cuando se elimina un archivo en sistemas de archivos NTFS:

• El sistema operativo marca el archivo como eliminado en

la tabla (MFT).
MTF
• Los clúster donde está almacenada la información del Tabla de archivos maestros.
archivo eliminado quedan marcados como libres en el Bitmap
registro Bitmap. Registro de todos los clúster
ocupados y no ocupados.

• El sistema operativo detecta esos clúster como vacío y

los dispone para almacenar nueva información.

Es muy importante que cuando se realiza el proceso de eliminación normal, esta

información se redirige hacia la papelera de reciclaje, pero si se utiliza la combinación
de teclas:

Shift Delete

La información se eliminará sin necesidad de pasar a por la papelera de reciclaje.

Papelera de reciclaje en el sistema operativo Windows.

Figura 6. Papelera de reciclaje

Fuente: Gettyimages/910502682

Informática forense II - eje 4 propongamos 10

 La papelera de reciclaje es un espacio que asigna el sistema operativo para alojar
de forma temporal todos los archivos que son eliminados por usuarios, los archivos que
llegan a la papelera de reciclaje permanecerán ahí hasta que se vacíe o se restaure el
archivo a su ubicación inicial, en otras palabras cuando el usuario elimina el archivo lo que
realmente hace el sistema es mover la información hacia el espacio que tiene asignado.

Importante dejar claro que los archivos que se eliminan de unidades USB o unidades
de red nunca pasarán por la papelera.

El sistema operativo Windows separa un espacio en cada uno de los discos con los que
cuente el equipo para asignarlo a la papelera de reciclaje, cuando se llena automática-
mente el sistema operativo comienza a borrar los archivos más antiguos.

Modificar el tamaño de la papelera es bastante sencillo en la siguiente imagen ilus-

tramos el proceso:

Figura 7. Cambio de tamaño papelera de reciclaje

Fuente: propia

En la imagen podemos ver que cambiar el tamaño es bastante sencillo, además que
también podemos configurar si no queremos que los archivos pasen a la papelera o se
eliminen directamente.

Ubicación de la papelera de reciclaje

La ubicación de la papelera de reciclaje depende del sistema de archivos (FAT o NFTS)

y de la versión del sistema operativo:

• Para sistema de archivo FAT y versiones de Windows 98 y anteriores, la papelera se

ubica en: Drive: \RECYCLED.

Informática forense II - eje 4 propongamos 11

 • En sistemas de archivos NTFS y versiones de Windows 2000, NT y XP la papelera se
ubica en Drive: \RECYCLER.

• En sistemas de archivos NTFS y versiones de Windows Vista y posteriores la pape-

lera se ubica en Drive: \$Recycle.bin.

En sistemas de archivos FAT la capacidad máxima de la papelera de reciclaje llega a los

3.99 GB, los archivos que lleguen a pesar más del tamaño máximo se eliminan directa-
mente, todos los archivos que el usuario o usuaria eliminan quedan en un solo directorio.

En sistemas de archivos NTFS no hay límite de capacidad para

la papelera de reciclaje se puede cambiar si es necesario como se SID
vio en la gráfica anterior, los archivos que se eliminan se clasifican Es un valor único de longitud
variable que se utiliza para
en directorios e identificados con el SID de cada usuario. identificar un principal de se-
guridad o un grupo de segu-
ridad en sistemas operativos
Para poder ver un ejemplo de la información que podemos Windows.
obtener como investigadores forenses, de la papelera de reciclaje,
necesitamos realizar los siguientes pasos:

• Primero abrimos una consola para ello ejecutamos la combinación de teclas Win-
dows + R, y en la ventana escribimos cmd.

• Después debemos saber el SID del usuario para conseguir esta información utiliza-
remos el siguiente comando whoami /user.

• Por último ingresamos a la ruta de la papelera de reciclaje y adicionalmente al direc-

torio que fue asignado al usuario, para conseguir esto se debe utilizar el siguiente co-
mando:cd c:\$Recycle.bin\S-1-5-21-3455789310-2689673827-1068901396-1001,
al final debería aparecer la información como la de la siguiente figura.

Figura 8. Resultado papelera de

reciclaje
Fuente: propia

Informática forense II - eje 4 propongamos 12

 Como podemos ver nos muestra todos los archivos que han sido eliminados por el
usuario.

Instrucción
Le invitamos antes de continuar a revisar desde la
página principal del eje para revisar la actividad de
aprendizaje: Práctica

La papelera de reciclaje tiene una forma particular de trabajar, cuando los usuarios
eliminan archivos, el sistema operativo almacena la ruta completa, nombre original del
archivo en un archivo especial llamado Info o Info2, con esta información el sistema
operativo está en la capacidad de realizar el proceso de restauración, desde las versiones
de Windows vista en adelante todos los archivos que sean eliminados son renombrados
como $Ry.ext.

Como investigadores debemos contar con herramientas que nos ayuden a poder recu-
perar la información borrada de la papelera de reciclaje, a continuación encontrarán un
listado de algunas de las más usadas:

• DiskDigger
• Data Rescue PC
• Total Recall
• Quick Recovery
• Handy Recovery
• EaseUS Data Recovery Wizard}
• Recuva
• Recover My Files

En la siguiente imagen vemos un ejemplo de toda la información que nos puede recu-
perar la herramienta Recover My Files.

Figura 9. Recover My Files

Fuente: propia

Informática forense II - eje 4 propongamos 13

 Cómo proteger las contraseñas utilizadas

Figura 10. Password

Fuente: Gettyimages/1045443496

Una contraseña es un combinación de letras (minúsculas o mayúsculas), números y caracteres

especiales, de longitud variable que conforman una palabra o frase y son usadas para procesos
de autenticación de usuarios o para acceder a algún recurso de red, las contraseñas garantizan
que personal no autorizado pueda ingresar en una computador, un archivo, una aplicación o
algún recurso de red, hoy en día las organizaciones y personas del común emplean contraseñas
combinadas con algoritmos criptográficos muy robustos para impedir que puedan observar su
información.

Las contraseñas que contienen combinaciones de letras muy sencillas se conocen como
contraseñas débiles y romperlas puede ser cuestión de segundos, mientras que las con-
traseñas que tienen una buena combinación de letras, números y caracteres especiales
y una longitud mayor a 12 caracteres tardarían hasta años poder descifrarlas.

Esta técnica de protección de la información también es muy usada por los atacan-
tes para poder ocultar datos que puedan ponerlos en evidencia, evitar que les puedan
hacer ingeniería inversa a las aplicaciones usadas en el ataque, evitar la recuperación de
información de discos duros, dispositivos de red, al igual que las
compañías es muy común que los atacantes combinen las con- Cifrado
traseñas con la utilización de métodos de cifrado, con el objetivo Es un procedimiento que uti-
de dificultar un poco más la tarea del investigador. liza un algoritmo de cifrado
con cierta clave (clave de
cifrado) para transformar
Los investigadores forenses por lo general se tienen que un mensaje, sin atender a su
estructura lingüística o signi-
enfrentar a este tipo de técnicas durante su investigación, es ficado, de tal forma que sea
una tarea que le consumirá recursos y conocimientos pero con las incomprensible o, al menos,
difícil de comprender a toda
herramientas adecuadas y los equipos necesarios pueden reco- persona que no tenga la clave
lectar las evidencias que necesitan para llevar a buen término secreta.
su investigación.

Informática forense II - eje 4 propongamos 14

Tipos de contraseña

• Texto claro: son las contraseñas que no tiene ningún proceso de cifrado, viajan
y se almacenan sin ninguna alteración, este tipo de contraseñas es muy fácil de
capturar cuando se está analizando el tráfico con herramientas como Wireshark, o
ettercap. Contraseñas cifrada: son las contraseñas que se les practica un proceso
de cifrado o en otras palabras sufren un cambio en su estructura y cuando viajan
por la red también se pueden capturar, para poderlas descifrar es un proceso más
complejo y está ligado a los métodos de cifrado que hayan utilizado.

• Contraseñas basadas en Hash: este tipo de contraseña es muy usado en siste-

mas operativos Linux, el cual genera un algoritmo hash a la contraseña que digita
el usuario y este hash es el que almacena y cuando el usuario va a iniciar sesión la
contraseña se le saca el hash y este se compara con el que está almacenado, de
ser idénticos dejará que iniciar la sesión de lo contrario lo impedirá.

• Password Cracker: esta es otra de las técnicas

utilizadas por los investigadores para tratar de
descifrar las contraseñas, pero de la misma for-
ma también es muy utilizada por los atacantes
para poder romper la seguridad de las contra-
señas que usan los usuarios y obtener acceso al
sistema. La técnica de password cracker es un
software, tiene como objetivo poder romper la
seguridad de la contraseña y lograr obtener el
texto claro, este software hace uso de una lista
de palabras creadas aleatoriamente con dife-
rentes combinaciones de letras (minúsculas y
mayúsculas), número y caracteres especiales.
Hash
Es un algoritmo matemático que transforma
cualquier bloque arbitrario de datos en una
nueva serie de caracteres con una longitud
fija. Independientemente de la longitud de los
datos de entrada, el valor hash de salida tendrá
siempre la misma longitud.
Carácter especial
Es una unidad de información que correspon-
de aproximadamente con un grafema o con
una unidad o símbolo parecido, como los de
un alfabeto o silabario de la forma escrita de
un lenguaje natural.

El software de craqueo utiliza dos métodos principalmente:

• Diccionario de datos: este método hace uso de una lista

de palabras predefinidas y las ingresa una a una hasta
encontrar la correcta.

• Fuerza bruta: este método realiza combinaciones de

caracteres hasta encontrar el verdadero.

• Híbridos: en este método se hace uso de un diccionario y

se combinan con fuerza bruta.

Informática forense II - eje 4 propongamos 15

 Visitar página
Es importante tener claro que las contraseñas están basa-
das en la criptografía por eso es importante ingresar a la
página principal del eje y revisar la siguiente lectura:

¿Qué es la Criptografía?

https://tecnologia-informatica.com/que-es-la-criptografia/

Contraseñas por defecto

Son las contraseñas que vienen por defecto en los equipos y son suministradas por los
fabricantes para acceder a las configuraciones iniciales de los equipos, es importante
aclarar que cada fabricante recomienda que después de iniciado el equipo se debe cam-
biar la contraseña, pero muchos administradores hacen caso omiso y dejan las contra-
señas por defecto, facilitando la tarea del atacante.

Encontrar los password por defecto de los distintos fabricantes es muy sencillo a con-
tinuación mostramos varias páginas muy utilizadas por los atacantes e investigadores:

http://cirt.net
https://w3dt.net Defecto
Es la opción que viene pre-
http://open-sez.me determinada a no ser que tú
la cambies.
http://virus.org

En la siguiente imagen podemos ver un ejemplo de la información que se puede obte-

ner en estas páginas:

Figura 12. Resultados http://cirt.net

Fuente: propia

Informática forense II - eje 4 propongamos 16

 Existen herramientas para lograr romper contraseñas de equipos, software, aplicacio-
nes a continuación se muestran algunas de las más usadas.

Para craquear contraseñas de la BIOS:

BIOS
• CmosPwd Es un software que localiza
y reconoce todos los dispo-
sitivos necesarios para car-
• DaveGrohl gar el sistema operativo en
la memoria RAM.

Para Contraseñas de Administradores

• Active Password Profesional

• Windows password recovery bootdisk

• Windows password recovery Lastic

Para contraseñas de aplicaciones:

• Passware kit Forensic

• SmartKey Password recovery bundle Standard

• Office Password recovery Toolbox

• Office Multi-document Cracker

• Accent WORD Password Recovery

• Power Point Password recovery

• Accent EXCEL Password Recovery

• PDF Password Cracker

• Advanced Archive Password Recovery

• PDF Password Genius

• L0phCrack

• Ophcrack

• Cain & Abel

• RainbowCrack

Informática forense II - eje 4 propongamos 17

 Instrucción
Le invitamos a consultar desde la página principal del
eje el recurso de aprendizaje: galería.

Para qué debemos utilizar Esteganografía

Figura 13. Delincuente informático

Fuente: Gettyimages/956091348

La esteganografía es otra de las técnicas usadas por los delincuentes informáticos para
camuflar información importante, pero antes de continuar debemos definir el concepto.

La esteganografía es el arte de ocultar información dentro de otra informa-

ción, en palabras más claras es usar documentos que a la vista de cualquier
persona son normales para ocultar información que se requiere que pase
desapercibida.

Es una técnica usada desde mucho antes de que existiera la informática hoy
Bit
en día los atacantes utilizan este tipo de técnicas para poder ocultar infor- Unidad de medida de
mación de las actividades que desarrollan como (códigos maliciosos, planes información.
de ataques, listado de posibles objetivos, listados de equipos comprometidos,
etc.), su funcionamiento radica en cambiar los bit de datos no utilizados por
el archivo por bits de información diferente e invisibles.

Informática forense II - eje 4 propongamos 18

 La esteganografía es el complemento perfecto cuando no se
puede usar técnicas de cifrado, es la segunda opción que utili- Interceptar
zan los atacantes para transferir información y evitar si llegan a Se refiere a detente algo
en su camino; interrumpir
interceptar los datos que puedan leerla de manera normal, esta una vía de comunicación;
técnica hoy en día está siendo combinada con métodos de cifrado o apoderarse de algo antes
de que llegue a su destino.
para lograr una protección mucho más robusta, este proceso difi-
culta un poco más el trabajo de un investigador.

Uno de los ejemplos más sencillos de esta técnica es ocultar archivos de texto dentro
de imágenes a continuación veremos un ejemplo muy sencillo, para realizarlo vamos a
necesitar:

Una imagen, un archivo y el programa WinRAR.

• La imagen que vamos a utilizar se llama Fases_de_un_Ataque.png,

• El archivo que vamos a ocultar se llama secreto.txt.

• El primer paso es comprimir el archivo secreto.txt con WinRAR, esto se hace para
que el contenido del archivo al momento de abrirlo no se mezcle con los datos de
la imagen.

• Después usamos el siguiente comando:

copy /b Fases_de_un_Ataque.jpg+secreto.rar Esteganografía.jpg

• Con este comando creamos un nuevo archivo llamado esteganografía, a simple

vista no se vería diferencia con la imagen original.

Figura 14. Ejemplo de esteganografía

Fuente: propia

Informática forense II - eje 4 propongamos 19

 • Pero si abrimos la imagen con el nombre de Esteganografía podemos ver el archi-
vo oculto

Figura 15. Archivo Oculto

Fuente: propia
En la siguiente figura podemos ver cómo funciona la técnica de esteganografía.

Figura 16. Funcionamiento esteganografía

Fuente. propia

En la imagen anterior podemos ver que se requiere enviar un mensaje desde el remi-
tente hacia el receptor por un medio público, lo que hace el receptor es agregar al archivo
llamado foto, el archivo llamado secreto y lo guarda con el nombre de foto y procede al
envío, el mensaje lo pueden ver dos personas, el remitente y otro usuario que se encontró
con esa información por casualidad, el receptor sabe que dentro del archivo foto hay un
archivo que es solo para él, mientras que la tercer persona solo verá la foto.

Esta es una descripción de la forma como funciona la esteganografía, y teniendo este

concepto claro y viendo que es una técnica relativamente fácil de realizar podríamos pen-

Informática forense II - eje 4 propongamos 20

sar en cuánta información habrá pasado por el frente y ni por enterados hemos estado. A
este tipo de cuestionamientos debe llegar un investigador para evitar que la información
que puede ser muy relevante para la investigación pueda pasar desapercibida.

La tecnología cada día avanza más y más y se van desarrollando Relevante

nuevos formatos lo que ha provocado que la técnica esteganográ- Importancia o significación
que destaca de algo.
fica evolucione y les permita a los atacantes poder encubrir infor-
Complejo
mación en un catálogo de archivos más complejo en la siguiente
Es una forma de clasificar
imagen podemos ver los tipos de esteganografía que se pueden los sistemas según su com-
emplear teniendo en cuenta los diferentes tipos de archivos. plejidad.

Tipos de esteganografía basado en formatos de archivos

Imágenes Documentos Carpeta

Archivos de audio Archivos de video Archivos de correo

Espacios en blanco Web

Códigos fuentes DVD, CD-ROM Sistema operativo

Figura 17. Tipos de archivos

Fuente. propia

Instrucción
Ingrese a la página principal del eje y revise el
recurso de aprendizaje: animación.

Estegoanálisis

El estegoanálisis es el proceso inverso a la esteganografía, su objetivo es poder encon-

trar información que esté oculta dentro de otra información, esta técnica es muy usada
en seguridad informática para contrarrestar los efectos de la esteganografía, el problema
es que también es usada por los atacantes para poder encontrar información que se
encuentre oculta.

Informática forense II - eje 4 propongamos 21

Esta técnica se realiza en dos etapas:

• Detección: donde se debe analizar la relación entre las herramientas usadas, el

medio de comunicación, cobertura y el mensaje

• Distorsión: es donde se manipula el archivo para tratar de extraer la información

oculta o eliminarla.

Nota: una de las formas más comunes de detectar la

técnica de esteganografía es revisar cuidadosamente el
tamaño de los archivos, porque cuando se unen varios
archivos el tamaño cambiará.

Existen varios tipos de estegoanálisis:

• Análisis de estado.

• Análisis de mensaje.

• Análisis de mensaje elegido.

Instrucción
Le invitamos a revisar desde la página
principal del eje el recurso de aprendizaje:
caso modelo.

Informática forense II - eje 4 propongamos 22

 Como ocultar datos en la estructura de sistemas de archivo

Figura 18. Ocultar datos

Fuente: Gettyimages/534502836

Otra de las técnicas usadas por los atacantes para poder ocultar información pero
esta técnica en particular hace uso de los componentes físicos de los sistemas como por
ejemplo: Espacio vacío de discos duros o espacio de holgura, memoria, directorios ocultos
del sistema operativo, particiones ocultas, bloques defectuosos, etc., estos espacios en
su mayoría pasan desapercibidos por las herramientas de análisis forense, para poder
entender un poco mejor cómo los atacantes ejecutan esta técnica vamos a describir un
ejemplo:

• Los discos duros con sistemas de archivos NTFS separan es-

pacios para los clúster defectuosos en un archivo llamado Holgura
SBadClus este archivo se representa con el número 8 en la Espacio vacío que queda
entre dos piezas que han
tabla maestra de archivos, cuando los atacantes logran te- de encajar.
ner acceso a este archivo tendrán un espacio ilimitado para Clúster
almacenar su información además de poder realizar modi- Significa grupo o racimo.
ficaciones para agregar más clúster.

Algunas de las herramientas que se usan para llevar a cabo este tipo de técnicas son:

• Fragfs: oculta datos dentro de la MFT del sistema de archivos NTFS.

• Slacker: oculta información en el espacio de holgura del sistema

de archivos NTFS.

• KY FS: oculta la información en las entradas de directorios nulas.

• RuneFS: oculta los datos en los bloques dañados.

• Data Mule FS: oculta la información en los espacios reservados.

Informática forense II - eje 4 propongamos 23

 Aunque es una técnica un poco compleja de ejecutar por parte de los atacantes,
poder detectarla también lo es para el investigador, en este tipo de técnicas además de
su conocimiento y experiencia se debe contar con muy buenas herramientas, equipos y
tiempo para poder detectar, recolectar y analizar la información que los atacantes han
tratado de camuflar.

Técnicas de ofuscación de datos

Figura 19. Ofuscación de datos

Fuente: Gettyimages/531478518

El objetivo de esta técnica es modificar o eliminar los metadatos de los archivos más importantes
que puedan incriminarlos y de esta manera lograr que el investigador se confunda o centre su
atención en datos que ya fueron alterados.

Los atacantes manipulan los registros de eventos, los encabezados de correos modifican fechas y
horas y los encabezados de archivos. Con el propósito de que el investigador quede desorientado
y confundido.

Algunas de las técnicas de ofuscación de datos más usadas son:

• Spoofing.
Cuenta zombie
Es el nombre que recibe
• Cuentas zombie una computadora que se
encuentra infectada con
un programa deamon, que
• Eliminación de registros. permite ser controlada por
un pirata informático de
• Comandos maliciosos forma remota.

Informática forense II - eje 4 propongamos 24


El framework de metasploit posee una herramienta
llamada Timestomp con la cual los atacantes pueden
modificar, editar y eliminar la fecha y hora de los meta-
datos y dejarlos inutilizables para los investigadores.
Framework
Entorno de trabajo o marco de trabajo es
un conjunto estandarizado de conceptos,
prácticas y criterios para enfocar un tipo
de problemática particular que sirve como
referencia, para enfrentar y resolver nuevos
problemas de índole similar.

Limpiando la presencia en el sistema

Figura 20. Limpiar el sistema

Fuente: Gettyimages/1094931918

El objetivo principal de la técnica de limpieza de archivos que puedan contener evi-

dencias es poder borrarlas o destruirlas, para realizar esta tarea los atacantes hacen uso
de tres procesos diferentes las cuales son:

• Limpieza de disco: el objetivo de este proceso es sobrescribir todos los datos que
contenga el disco, para lograr su objetivo los atacantes hacen uso de varias herra-
mientas que se encargan de realizar el trabajo, es importante aclarar que el uso
de esta herramientas dejan un rastro de su uso, este tipo de evidencia le ayudará
a los investigadores a determinar qué tipo de herramienta usaron y determinar su
funcionamiento para tratar de realizar algún proceso de recuperación de informa-
ción. entre las herramientas más usados están:

-- CCleaner

-- Total WipeOut

-- DriveScrubber

-- Secure Erase

Informática forense II - eje 4 propongamos 25

• Eliminación de archivos: este proce-
so tiene como objetivo lograr borrar
o destruir archivos que puedan repre-
sentar un peligro para los atacantes,
esta técnica es menos invasiva que
la de sobre escritura de disco, pero
puede llegar a hacer muy efectiva, el
atacante puede llegar a borrar todo
un sistema de archivos completo, al
igual que las herramientas usadas
para las sobreescritura de disco, las
que se utilizan para la eliminación o
destrucción de archivos también de-
jan huella e incluso pueden llegar a
dejar información sin daño alguno,
a diferencia de la sobre escritura el
funcionamiento de este tipo de he-
rramientas de la posibilidad a los
investigadores de poder recuperar
la información de una manera más
sencilla. Las herramientas más utili-
zadas para esta técnica son:
-- R-Wipe & Clean Erase
-- BCWipe
-- Destrucción: es el proceso más uti-
lizado y el cual se encarga de des-
truir completamente el disco físico
existen cuatro formas de emplear
esta técnica:
1. Desintegración: separar  o  des-
componer en partes una cosa
2. Incineración: quemar una cosa
hasta reducirla a cenizas
3. Pulverización: convertir algo
en polvo
4. Trituración: romper una mate-
ria sólida reduciéndola a partes
muy pequeñas
Como podemos ver la utilización de la
técnica de desmagnetización o destrucción
de los discos físicos es el peor escenario
para un investigador forense, pero no es
muy común el uso de este tipo de técnicas
ya que se debería tener acceso a los disco
físicos para poder ejecutarlas.

-- CyberScrubs Privacy suite

• Desmagnetización o destrucción
de discos: este tipo de técnica es
más radical que las dos anteriores y
sus objetivos principales son: Dejar
el disco limpio de cualquier informa-
ción que pueda contener el disco y
destruir por completo el disco físico:

-- Desmagnetización: en este proce-

so se pasan los disco por medio de
un campo magnético para borrar
toda la información que pueda
llegar a contener el dispositivo, es
una técnica costoso y requiere de
equipos especiales para llevarla a
cabo.

Informática forense II - eje 4 propongamos 26

 Eliminando datos y su metadata

Figura 21. Eliminar datos y metadata

Fuente: Gettyimages/1130571029

El objetivo principal de esta técnica es evitar que los investigadores puedan recrear una
línea de tiempo de todas las actividades que realizaron los atacantes en el sistema desde
que comenzó el ataque hasta su finalización. Cuando realizan el proceso de borrado de
archivos pueden dejar huellas de las herramientas usadas, entonces lo que hacen los
atacantes es sobrescribir los metadatos para lograr confundir a los investigadores y así
evitar que puedan hacer una línea de tiempo de lo que ocurrió en el sistema.

Los programas que utilizan los atacantes para sobre escribir los metadatos funcionan
de tres formas:

• Sobreescritura de todo el contenido.

• Sobreescritura de archivos individuales.

• Sobreescritura de archivos borrados.

Uno de los objetivos de los atacantes cuando ingresan a un equipo con sistema ope-
rativo Windows es poder editar la llave de registro:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

Esta llave es la que controla la marca de tiempo de los

Metadatos
archivos utilizados por defecto tiene configurado el valor en Son “datos acerca de los datos” y
0 al cambiarlo a 1 el sistema no registrará la última marca sirven para suministrar información
sobre los datos producidos.
de tiempo.
Montar
Acción de integrar un sistema de
Otras formas de evitar los metadatos es montar las parti- archivos alojado en un determina-
ciones en modo de lectura do dispositivo dentro del árbol de
directorios de un sistema operativo.

Informática forense II - eje 4 propongamos 27

 Utilizando métodos de Cifrado

Figura 22. Cifrado

Fuente: Gettyimages/929002810

La técnicas de cifrado de datos es una de las más usadas por los atacantes para evitar
o entorpecer los proceso de investigación de los peritos forenses, esta técnica consiste
en traducir los datos a un código que solo pueda descifrar la persona para la cual va
dirigida la información, en este técnica se hace uso de claves las cuales solo saben las
personas que están autorizadas para poder tener y ver la
información, es una de las mejores técnicas utilizadas por los
Algoritmo
atacantes para poder asegurar su información, porque aun- Se puede definir como una secuen-
que el investigador logre capturar la información tendrá que cia de instrucciones que represen-
tan un modelo de solución para
tratar de descifrar y dependiendo del algoritmo utilizado por determinado tipo de problemas.
el atacante se podría convertir en una tarea casi imposible.

Con esta técnica los atacantes pueden cifrar discos duros completos, carpetas, archi-
vos, códigos, hoy en día hay muchas herramientas que sirven a este propósito por ejemplo
Microsoft desde la versión de Windows 7 en adelante trae las herramientas:

• BitLoker: esta herramienta permite el cifrado de discos o volúmenes completos.

• Cifrado EFS: esta herramienta permite el cifrado de archivos y directorios.

Además de las herramientas anteriores existen otras las cuales también son muy usa-
das por los atacantes para cifrar su información:

• VeraCrypt
• GNUPG
• AES CRYPT
• Diskcrytopr
• ENCFS
• AXCRYPT

Informática forense II - eje 4 propongamos 28

 Instrucción
Para profundizar un poco más en las herramientas que ofrece
Windows y sobre este apartado les invitamos desde la página
principal del eje a revisar las siguientes actividades:

Lecturas complementarias:
Qué es y cómo cifrar archivos con cifrado EFS en Windows 10
https://bit.ly/2YCF9tU

BitLocker
https://bit.ly/2JNdpYh

Simulación

Videoresumen

Evitando el uso de footprint

Figura 23. Footprint

Fuente: Gettyimages/1023310814

El footprint es una técnica muy usada por los atacantes para poder recolectar infor-
mación del objetivo pero de la misma manera también puede ser usada por los inves-
tigadores forenses para poder encontrar información del atacante, por esta razón los
atacantes hacen uso de varios procesos para poder evitar o minimizar el uso del footprin
en su contra.

Informática forense II - eje 4 propongamos 29

 • Inyección de código en memoria:
esta técnica también es conocida
como desbordamiento de buffer y es
muy usada para acceder de forma
remota al equipo víctima inyectar y
ejecutar código malicioso que altere
el comportamiento normal del siste-
ma con éxito.
• Userland Execve: este tipo de ata-
que está dirigido al kernel de Unix y
lo que permite es que los programas
de atacante se carguen si llamara al
kernel de Unix y así poder saltarse los
sistemas de seguridad basados en
kernel.
• Proxying SysCall: este tipo de técni-
ca capitaliza las vulnerabilidades de
inyección de código y utiliza un proxy
de llamadas del sistema para acep-
tar las conexiones remotas, al reali-
zar esto el equipo de la víctima hará
las llamadas al sistema y el atacante
las podrá recibir, con esto evita tener
que cargar todas las herramientas
en la máquina de la víctima.
Además de las técnicas anteriores los
atacantes también pueden minimizar el
footprint usando:
• Live Cd: para ejecutar sistemas ope-
rativos en modo de solo lectura y
ejecutar herramientas de penetra-
ción o navegación anónima, una de
las desventajas es que no permite
guardar información.
• USB Booteable: este tipo de disposi-
tivos es mucho más frecuente, como
investigadores forenses siempre con-
tamos con varias USB con diferentes
sistemas operativos de la misma
manera lo hacen los atacantes, ade-
más de que permiten tener todas las
funcionalidades en el equipo, permi-
te guardar y cifrar la información y lo
más importante después de expulsar
la USB, no quedara rastro de las ac-
tividades.
• Máquinas virtuales: otra de las técni-
cas para evitar el footprint; el uso de
las máquinas virtuales permite usar
todas las funcionalidades de los sis-
temas, borrar los rastros es bastante
fácil ya que todo queda almacenado
como un archivo en el hosts, y solo
será necesario aplicar un técnica de
borrado de archivo vista en los capí-
tulos anteriores.
Las técnicas anti forenses son procesos
que efectúan los investigadores forenses y
que los atacantes han copiado para evi-
tar que puedan ser detectados o tratar de
hacer mucho más difícil su investigación,
es un tema muy extenso pero como inves-
tigadores debemos tratar de dominarlo
en un muy alto nivel, porque cuando nos
enfrentemos a los atacantes ellos trataran
de usar todas nuestras técnicas en nuestra
contra con tal de desviarnos de los objeti-
vos principales.
Conexión Remota
Es una tecnología que permite el acceso
remoto a un ordenador u otro dispositivo
similar, desde otro terminal situado en
cualquier punto del planeta, a través de
una conexión de red establecida por fibra
óptica o Wi-Fi.
Informática forense II - eje 4 propongamos 30
 Bibliografía

Bulland, V. (2010). Cracking Passwords in Forensic Investigations:

Cost Implications. Obtenido de https://openrepository.aut.ac.nz/
bitstream/handle/10292/2089/BullandV.pdf

Garfinkel , S. (enero de 2007). Anti-Forensics: Techniques, Detection

and Countermeasures. Obtenido de https://www.researchgate.
net /publication/228339244_Anti-forensics_Techniques_detection_
and_countermeasures
BIBLIOGRAFÍA

Ibrahim, A. (diciembre de 2007). Steganalysis in computer forensics.

Obtenido de https://pdfs.semanticscholar.org/9647/6e45ea95a89
bafe4565a193b35760929f1a4.pdf

Instituto Nacional de Ciberseguridad. (2016). Guía sobre borrado

seguro de la información: una aproximación para el empresario.
Obtenido de https://www.incibe.es/sites/default/files/contenidos/
guias/doc/guia_ciberseguridad_borrado_seguro_metad.pdf

Jiménez, J. (24 de agosto de 2018). Qué es y cómo cifrar archivos con

cifrado EFS en Windows 10. Obtenido de https://www.redeszone.
net/2018/08/24/cifrar-archivos-cifrado-efs-windows-10/

Kessler, G.,& Cowan , E. (2007). Anti-Forensics and the Digital Investigator

. Obtenido de https://www.garykessler.net/library/2007_ADFC_
anti-forensics.pdf

Microsoft. (25 de enero de 2018). BitLocker. Obtenido de https://docs.

microsoft.com/en-us /windows /security/information-protection/
bitlocker/bitlocker-overview

Pimenidis, E., & Pajek, P. (agosto de 2009). Computer Anti-

forensics Methods and Their Impact on Computer Forensic
Investigation. Obtenido de https://www.researchgate.net/
publication/226856787_Computer_Anti-forensics_Methods_and_
Their_Impact_on_Computer_Forensic_Investigation