RETO FORENSE

PRACTICA: INFORMATICA FORENSE

DURACION: quince (15) días

OBJETIVO
Realizar una actividad asociada con el manejo de un incidente informático en
donde el dicente pueda utilizar todos los conocimientos adquiridos a través del
módulo de cómputo forense, iniciando desde la notificación de éste, la
preparación de las herramientas IRC, la intervención a la escena, y el análisis de
la evidencia digital, aplicando para ello metodologías de investigación y
herramientas free para realizar estudios técnicos forenses, sobre un marco legal
como es la aplicación de la cadena de custodia, la ley 527, 906 y 599.

EJERCICIO.
Hechos: La empresa DOLARETES tiene como objetivo principal la administración
de divisas extrajeras principalmente EUROS y DOLARES, para la realización de
envíos, remesas y cambio de divisas en todo el territorio Colombiano.

En el mes de octubre del año 2002 se recibe un reporte por parte de cliente
llamado JOSE EPAMINONDAS TUTA en donde informa sobre unas irregularidades
dadas en la oficina de UNICENTRO, manifestando que realizo el cambio de cien
millones de pesos m/cte. (100.000.000) por dólares, dentro de los cuales se
detectaron diez mil dólares (10.000) falsos, distribuidos en cien (100) billetes de
cien (100) dólares. Adicionalmente informa que el funcionario que realiza dicha
transacción responde al nombre de CLYNE HUTSON.

Dentro de las investigaciones realizadas por parte del grupo de seguridad física
de la entidad, se logra determinar de acuerdo a una fuente no formal que este
funcionario tiene comportamientos extraños dentro de la oficina, los cuales están
asociados a la utilización de un computador portátil propiedad de la empresa
DOLARETES, en donde al parecer viene trabajando con el escaneo y
procesamiento de imágenes asociadas con una divisa extranjera (dólares), que
posteriormente son enviadas a través de Internet, desconociendo su destino.

Elaboro: John Jairo Echeverry Aristizabal

1. Ustedes son el Equipo de Respuesta a Incidencias Seguridad de la
Información (ERISI), quienes deben atender este evento de seguridad que
tantos problemas están ocasionando a la empresa DOLARETES, frente a su
imagen reputacional así como a las demandas que se puedan presentar.

Para iniciar esta incidencia es necesario que ustedes generen el reporte del
incidente y lo clasifiquen de acuerdo a su gravedad. Es importante resaltar
que existen ejemplos de reportes de incidencia en el estándar GTC 169 o
en la norma ISO 27002.

2. Basados en el modelo de investigación visto en el desarrollo de este

módulo, deberán determinar las actividades cualitativas y cuantitativas
que deban desarrollarse que permitan afirmar o desvirtuar la(s) hipótesis
desarrollas por ustedes dentro del caso.

3. Siguiendo con el desarrollo de caso, deberán intervenir la escena con el

propósito de recolectar el computador portátil que está siendo utilizado
por el funcionario CLYNE HUTSON, para lo cual deberán preparar sus
herramientas forenses teniendo cuidado de velar por el buen
funcionamiento de las mismas, es por ello que como complemento de este
actividad deberán demostrar a través de los reportes generados por los
programas respectivos, que sus herramientas son las adecuadas para
realizar esta intervención.

4. Una vez definido el reporte del incidente, el modelo de investigación y sus

herramientas forenses debidamente preparadas, se inicia la intervención
de la escena, para ello se comenta que el computador se halla
encendido.

Nota: La recolección de datos volátiles, metadatos, entre otros, deberá hacerse sobre el
cualquier computador, simulando ser el equipo portátil a intervenir.

5. Para poder incautar el computador portátil, se deberá demostrar que en

este existen indicios asociados con la falsificación de divisas extranjeras, de
lo contrario este no podrá ser incautado.

Nota: Para realizar este análisis preliminar se deberá cargar la imagen forense
entregada por el docente, la cual deberá ser montada a través de cualquiera de los
software forenses vistos, determinando la existencia de algún indicio que permita inferir
esta falsificación.

6. Se deberá entregar un informe de todas las actividades realizadas frente a

la intervención de la escena, obviamente resaltando que el computador

Elaboro: John Jairo Echeverry Aristizabal

 portátil se hallaba encendido. Con este informe deberán entregar uno o
varios medios ópticos, dependiendo el proceder del equipo de trabajo, en
donde se debe encontrar la información volátil, el volcamiento de la
memoria RAM, los metadatos de ser posible, y todos los archivos que han
sido creados y/o consultados y/o modificados en el mes de octubre del
año 2002. Toda esta información deberá ser tomada como EMP (Elementos
materiales probatorios), en consecuencia deberán tener formatos de
cadena de custodia debidamente diligenciados.

7. Teniendo en cuenta las actividades anteriores, por favor realizar un

concepto jurídico en donde se comente si es posible analizar el contenido
de este medio de almacenamiento, basados en que la empresa
DOLARETES todavía no ha decidido denunciar el hecho.

Nota: El concepto jurídico DEBE ser viable, por ello ustedes podrán enunciar los supuestos
que deseen, los cuales deberán ser motivados y justificados. No es válida la autorización del
sospechoso.

8. Con el propósito de practicar la extracción de imágenes forenses, deberán

extraer una imagen forense en formato DD de la imagen forense que les
sea entregada, la cual deberá ser almacenada en un medio óptico y a
esta se le debe aplicar los procedimientos de cadena de custodia.

9. Se deberá realizar un análisis y/o estudio forense a la imagen, hallando lo

siguiente:

a. Análisis de la geometría del disco.

b. Recuperación de archivos por extensión.
c. Observación de archivos compuestos.
d. Análisis del sistema
i. Determinar sistema operativo instalado.
ii. Establecer usuarios configurados, colocando especial atención
al usuario CLYNE HUTSON, si lo hay.
iii. Determinar los documentos trabajados recientemente de
acuerdo a la fecha de los hechos, tener en cuenta los
documentos del usuario CLYNE HUTSON.
iv. Establecer páginas consultadas por Internet del señor CLYNE
HUTSON.
v. Determinar programas instalados en la máquina.
vi. Observar programas, accesos o archivos en el escritorio.

Elaboro: John Jairo Echeverry Aristizabal

 vii. Realizar la búsqueda asociada con archivos, imágenes,
fotografías que tengan que ver con la falsificación de moneda
extranjera, haciendo énfasis en el dólar.
viii. Por otra parte se supo a través de labores investigativas, que este
funcionario está extrayendo información secreta con ocasión de
una investigación asociada a obras de arte con imágenes de
dragones, por ende, es necesario a través del análisis que se
haga, determinar si estas imágenes se hallan presentes en este
laptop, y si las mismas fueron enviadas a través del algún correo
electrónico, determinando el contacto al que fue enviada y las
fechas de este envío. Nota: Se anexan las fotos de las obras de arte de
dragones.
ix. Por último, se supo de la vinculación de este funcionario con
grupos al margen de la ley (FARC), de donde se sabe, que al
parecer este funcionario participo en un atentado contra la
Escuela Militar de Guerra en días pasados, en donde estallo un
vehículo marca DACIA de color amarillo.

10. Frente a todo este análisis forense, el equipo de trabajo deberá realizar un
informe técnico y/o de laboratorio en donde tenga en cuenta los
siguientes ítems: Destino, Objetivo del Informe, Descripción de los EMP o
evidencia física, Procedimientos técnicos utilizados, Instrumentos
empleados y estado de los mismos, Aceptación de la Comunidad Técnico
Científica frente al procedimiento utilizado, Desarrollo del informe,
Conclusiones y Hallazgos, Anexos y firmas de los responsables del análisis.

Así mismo deberá generar una evidencia en un medio óptico con relación
a los elementos materiales probatorios hallados en el medio de
almacenamiento de tipo tecnológico (Disco Duro), aplicando todo el
procedimiento de cadena de custodia.

El producto final deberá ser almacenado en una carpeta con todos los
informe y la evidencia recolectada y extraída, producto de las
intervenciones y análisis a las evidencias digitales.

NOTA FINAL: Cualquier información que se requiera y que no se encuentre, podrá ser ideada por
ustedes contextualizándola con el ejercicio planteado.

PLAZO DE ENTREGA: VIERNES 26 DE SEPTIEMBRE DE 2014 A LAS 6:20 PM

Elaboro: John Jairo Echeverry Aristizabal