Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Miguel Quintero
EJE 4
Propongamos
Metodologías utilizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Tipos de contraseña . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Estegoanálisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Introducción
Lectura recomendada
Para profundizar en el tema le invitamos a
ingresar a la página principal del eje para
realizar la siguiente lectura complementaria:
Elias Pimenidis
Metodologías utilizadas
Reconocimiento
Explotación
Obtener acceso
Mantener acceso
Borrado de rastros
Figura 3. Metodología
Fuente: propia
Para poder lograr que la metodología funcione de una manera muy eficaz los atacan-
tes implementan las siguientes técnicas:
• Protección de Contraseñas.
• Esteganografía.
• Ofuscación.
Una de las técnicas anti forenses más usadas por los delincuentes es la eliminación de
archivos que los puedan incriminar, después de haber cometido los actos ilícitos la pre-
ocupación de los atacantes es poder borrar cualquier huella que pudieran haber dejado,
dentro de las tareas más importantes para los delincuentes están:
• Eliminar datos contenidos en los discos duros con los cuales los puedan relacionar.
Este conjunto de procedimientos dificulta la tarea del investigador pero no quiere decir
que esta información no se pueda recuperar, lo que implica es que el investigador deberá
emplear más tiempo y recursos para poder recolectar las verdaderas evidencias.
Shift Delete
Importante dejar claro que los archivos que se eliminan de unidades USB o unidades
de red nunca pasarán por la papelera.
El sistema operativo Windows separa un espacio en cada uno de los discos con los que
cuente el equipo para asignarlo a la papelera de reciclaje, cuando se llena automática-
mente el sistema operativo comienza a borrar los archivos más antiguos.
En la imagen podemos ver que cambiar el tamaño es bastante sencillo, además que
también podemos configurar si no queremos que los archivos pasen a la papelera o se
eliminen directamente.
• Primero abrimos una consola para ello ejecutamos la combinación de teclas Win-
dows + R, y en la ventana escribimos cmd.
• Después debemos saber el SID del usuario para conseguir esta información utiliza-
remos el siguiente comando whoami /user.
Instrucción
Le invitamos antes de continuar a revisar desde la
página principal del eje para revisar la actividad de
aprendizaje: Práctica
La papelera de reciclaje tiene una forma particular de trabajar, cuando los usuarios
eliminan archivos, el sistema operativo almacena la ruta completa, nombre original del
archivo en un archivo especial llamado Info o Info2, con esta información el sistema
operativo está en la capacidad de realizar el proceso de restauración, desde las versiones
de Windows vista en adelante todos los archivos que sean eliminados son renombrados
como $Ry.ext.
Como investigadores debemos contar con herramientas que nos ayuden a poder recu-
perar la información borrada de la papelera de reciclaje, a continuación encontrarán un
listado de algunas de las más usadas:
• DiskDigger
• Data Rescue PC
• Total Recall
• Quick Recovery
• Handy Recovery
• EaseUS Data Recovery Wizard}
• Recuva
• Recover My Files
En la siguiente imagen vemos un ejemplo de toda la información que nos puede recu-
perar la herramienta Recover My Files.
Las contraseñas que contienen combinaciones de letras muy sencillas se conocen como
contraseñas débiles y romperlas puede ser cuestión de segundos, mientras que las con-
traseñas que tienen una buena combinación de letras, números y caracteres especiales
y una longitud mayor a 12 caracteres tardarían hasta años poder descifrarlas.
Esta técnica de protección de la información también es muy usada por los atacan-
tes para poder ocultar datos que puedan ponerlos en evidencia, evitar que les puedan
hacer ingeniería inversa a las aplicaciones usadas en el ataque, evitar la recuperación de
información de discos duros, dispositivos de red, al igual que las
compañías es muy común que los atacantes combinen las con- Cifrado
traseñas con la utilización de métodos de cifrado, con el objetivo Es un procedimiento que uti-
de dificultar un poco más la tarea del investigador. liza un algoritmo de cifrado
con cierta clave (clave de
cifrado) para transformar
Los investigadores forenses por lo general se tienen que un mensaje, sin atender a su
estructura lingüística o signi-
enfrentar a este tipo de técnicas durante su investigación, es ficado, de tal forma que sea
una tarea que le consumirá recursos y conocimientos pero con las incomprensible o, al menos,
difícil de comprender a toda
herramientas adecuadas y los equipos necesarios pueden reco- persona que no tenga la clave
lectar las evidencias que necesitan para llevar a buen término secreta.
su investigación.
• Texto claro: son las contraseñas que no tiene ningún proceso de cifrado, viajan
y se almacenan sin ninguna alteración, este tipo de contraseñas es muy fácil de
capturar cuando se está analizando el tráfico con herramientas como Wireshark, o
ettercap. Contraseñas cifrada: son las contraseñas que se les practica un proceso
de cifrado o en otras palabras sufren un cambio en su estructura y cuando viajan
por la red también se pueden capturar, para poderlas descifrar es un proceso más
complejo y está ligado a los métodos de cifrado que hayan utilizado.
¿Qué es la Criptografía?
https://tecnologia-informatica.com/que-es-la-criptografia/
Son las contraseñas que vienen por defecto en los equipos y son suministradas por los
fabricantes para acceder a las configuraciones iniciales de los equipos, es importante
aclarar que cada fabricante recomienda que después de iniciado el equipo se debe cam-
biar la contraseña, pero muchos administradores hacen caso omiso y dejan las contra-
señas por defecto, facilitando la tarea del atacante.
Encontrar los password por defecto de los distintos fabricantes es muy sencillo a con-
tinuación mostramos varias páginas muy utilizadas por los atacantes e investigadores:
http://cirt.net
https://w3dt.net Defecto
Es la opción que viene pre-
http://open-sez.me determinada a no ser que tú
la cambies.
http://virus.org
• L0phCrack
• Ophcrack
• RainbowCrack
La esteganografía es otra de las técnicas usadas por los delincuentes informáticos para
camuflar información importante, pero antes de continuar debemos definir el concepto.
Es una técnica usada desde mucho antes de que existiera la informática hoy
Bit
en día los atacantes utilizan este tipo de técnicas para poder ocultar infor- Unidad de medida de
mación de las actividades que desarrollan como (códigos maliciosos, planes información.
de ataques, listado de posibles objetivos, listados de equipos comprometidos,
etc.), su funcionamiento radica en cambiar los bit de datos no utilizados por
el archivo por bits de información diferente e invisibles.
Uno de los ejemplos más sencillos de esta técnica es ocultar archivos de texto dentro
de imágenes a continuación veremos un ejemplo muy sencillo, para realizarlo vamos a
necesitar:
• El primer paso es comprimir el archivo secreto.txt con WinRAR, esto se hace para
que el contenido del archivo al momento de abrirlo no se mezcle con los datos de
la imagen.
En la imagen anterior podemos ver que se requiere enviar un mensaje desde el remi-
tente hacia el receptor por un medio público, lo que hace el receptor es agregar al archivo
llamado foto, el archivo llamado secreto y lo guarda con el nombre de foto y procede al
envío, el mensaje lo pueden ver dos personas, el remitente y otro usuario que se encontró
con esa información por casualidad, el receptor sabe que dentro del archivo foto hay un
archivo que es solo para él, mientras que la tercer persona solo verá la foto.
Instrucción
Ingrese a la página principal del eje y revise el
recurso de aprendizaje: animación.
Estegoanálisis
• Análisis de estado.
• Análisis de mensaje.
Instrucción
Le invitamos a revisar desde la página
principal del eje el recurso de aprendizaje:
caso modelo.
Otra de las técnicas usadas por los atacantes para poder ocultar información pero
esta técnica en particular hace uso de los componentes físicos de los sistemas como por
ejemplo: Espacio vacío de discos duros o espacio de holgura, memoria, directorios ocultos
del sistema operativo, particiones ocultas, bloques defectuosos, etc., estos espacios en
su mayoría pasan desapercibidos por las herramientas de análisis forense, para poder
entender un poco mejor cómo los atacantes ejecutan esta técnica vamos a describir un
ejemplo:
Algunas de las herramientas que se usan para llevar a cabo este tipo de técnicas son:
El objetivo de esta técnica es modificar o eliminar los metadatos de los archivos más importantes
que puedan incriminarlos y de esta manera lograr que el investigador se confunda o centre su
atención en datos que ya fueron alterados.
Los atacantes manipulan los registros de eventos, los encabezados de correos modifican fechas y
horas y los encabezados de archivos. Con el propósito de que el investigador quede desorientado
y confundido.
• Spoofing.
Cuenta zombie
Es el nombre que recibe
• Cuentas zombie una computadora que se
encuentra infectada con
un programa deamon, que
• Eliminación de registros. permite ser controlada por
un pirata informático de
• Comandos maliciosos forma remota.
• Limpieza de disco: el objetivo de este proceso es sobrescribir todos los datos que
contenga el disco, para lograr su objetivo los atacantes hacen uso de varias herra-
mientas que se encargan de realizar el trabajo, es importante aclarar que el uso
de esta herramientas dejan un rastro de su uso, este tipo de evidencia le ayudará
a los investigadores a determinar qué tipo de herramienta usaron y determinar su
funcionamiento para tratar de realizar algún proceso de recuperación de informa-
ción. entre las herramientas más usados están:
-- CCleaner
-- Total WipeOut
-- DriveScrubber
-- Secure Erase
• Desmagnetización o destrucción
de discos: este tipo de técnica es
más radical que las dos anteriores y
sus objetivos principales son: Dejar
el disco limpio de cualquier informa-
ción que pueda contener el disco y
destruir por completo el disco físico:
El objetivo principal de esta técnica es evitar que los investigadores puedan recrear una
línea de tiempo de todas las actividades que realizaron los atacantes en el sistema desde
que comenzó el ataque hasta su finalización. Cuando realizan el proceso de borrado de
archivos pueden dejar huellas de las herramientas usadas, entonces lo que hacen los
atacantes es sobrescribir los metadatos para lograr confundir a los investigadores y así
evitar que puedan hacer una línea de tiempo de lo que ocurrió en el sistema.
Los programas que utilizan los atacantes para sobre escribir los metadatos funcionan
de tres formas:
Uno de los objetivos de los atacantes cuando ingresan a un equipo con sistema ope-
rativo Windows es poder editar la llave de registro:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
La técnicas de cifrado de datos es una de las más usadas por los atacantes para evitar
o entorpecer los proceso de investigación de los peritos forenses, esta técnica consiste
en traducir los datos a un código que solo pueda descifrar la persona para la cual va
dirigida la información, en este técnica se hace uso de claves las cuales solo saben las
personas que están autorizadas para poder tener y ver la
información, es una de las mejores técnicas utilizadas por los
Algoritmo
atacantes para poder asegurar su información, porque aun- Se puede definir como una secuen-
que el investigador logre capturar la información tendrá que cia de instrucciones que represen-
tan un modelo de solución para
tratar de descifrar y dependiendo del algoritmo utilizado por determinado tipo de problemas.
el atacante se podría convertir en una tarea casi imposible.
Con esta técnica los atacantes pueden cifrar discos duros completos, carpetas, archi-
vos, códigos, hoy en día hay muchas herramientas que sirven a este propósito por ejemplo
Microsoft desde la versión de Windows 7 en adelante trae las herramientas:
Además de las herramientas anteriores existen otras las cuales también son muy usa-
das por los atacantes para cifrar su información:
• VeraCrypt
• GNUPG
• AES CRYPT
• Diskcrytopr
• ENCFS
• AXCRYPT
Lecturas complementarias:
Qué es y cómo cifrar archivos con cifrado EFS en Windows 10
https://bit.ly/2YCF9tU
BitLocker
https://bit.ly/2JNdpYh
Simulación
Videoresumen
El footprint es una técnica muy usada por los atacantes para poder recolectar infor-
mación del objetivo pero de la misma manera también puede ser usada por los inves-
tigadores forenses para poder encontrar información del atacante, por esta razón los
atacantes hacen uso de varios procesos para poder evitar o minimizar el uso del footprin
en su contra.