Análisis Forense

Manuel Martínez García

Introducción al análisis forense

 Índice

1. ¿Qué es la Informática Forense?

2. Objetivos de un análisis forense
3. Etapas de un análisis forense
4. Cadena de custodia
5. El perito judicial y las repercusiones legales

Análisis Forense – Manuel Martínez García

¿Qué es la informática
forense?

Análisis Forense – Manuel Martínez García

 ¿Qué es la informática forense?

El proceso de investigación de los sistemas de

información para detectar toda evidencia que pueda ser
presentada como medio de prueba fehaciente para la
resolución de un litigo dentro de un procedimiento judicial.
Incibe (Instituto Nacional de Ciberseguridad, España)

The art and science of applying computer science

knowledge and skills to aid the legal process.
Christopher Brown

Análisis Forense – Manuel Martínez García

 ¿Qué es la informática forense?

Computer forensics refer to a set of methodological

procedures and techniques that help identify, gather,
preserve, extract, interpret, document, and present
evidence from computing equipment, whereby any
evidence discovered is acceptable during a legal and/or
administrative proceeding.

La informática forense se refiere a un conjunto de

procedimientos y técnicas metodológicas que ayudan a
identificar, reunir, preservar, extraer, interpretar,
documentar y presentar pruebas de equipos informáticos,
por lo que cualquier prueba descubierta es aceptable
durante un procedimiento legal y/o administrativo
Computer Hacking Forensic Investigator-CHFI | EC-Council

Análisis Forense – Manuel Martínez García

 ¿Qué es la informática forense?

Antes de continuar… ¿Qué es una evidencia digital?

Según la norma internacional ISO/IEC 27037 (disponible en la
biblioteca de la Universidad), la evidencia digital es:

“Aquel conjunto de información almacenada o transmitida de

manera binaria que puede ser utilizado como medio de prueba”

Información
almacenada o Binaria Prueba
transmitida

Análisis Forense – Manuel Martínez García

 ¿Qué es la informática forense?

Antes de continuar… ¿Qué es una evidencia digital?

La evidencia digital es la información (el log, los archivos ofimáticos,
el registro de eventos, una captura de red, etc.), la evidencia digital no
es el disco duro o el pendrive, estos elementos son contenedores
de potenciales evidencias digitales

Análisis Forense – Manuel Martínez García

 ¿Qué es la informática forense?

Antes de continuar… ¿Qué es una evidencia digital?

Las evidencias digitales deben cumplir una serie de características
para poder ser utilizadas como medio de prueba:
1. Admisible: Las evidencias deben estar relacionadas con el
hecho que se quiere probar.
2. Auténtica: Las evidencias deben ser reales y estar
relacionadas con el incidente de manera adecuada.
3. Completa: Las evidencias deben probar las acciones del
atacante o su inocencia.
4. Confiable: No debe haber ninguna duda sobre la
autenticidad y veracidad de las evidencias.
5. Creíble: Las pruebas deben ser claras y comprensibles para
los jueces.

Análisis Forense – Manuel Martínez García

 ¿Qué es la informática forense?

Evidencia
Proceso
• Ciencia Legal
• Arte

Forense
Digital

Análisis Forense – Manuel Martínez García

 ¿Qué es la informática forense?

Una ciencia
Porque aplicamos procedimientos y técnicas científicas, realizamos
experimentos y validamos metodologías a aplicar.

Un arte
Porque en muchas ocasiones vamos a depender de nuestro “olfato”
para localizar las evidencias e incluso pensar cómo el “malo” ha
podido realizar la acción que estamos investigando.

Análisis Forense – Manuel Martínez García

 ¿Qué es la informática forense?

Ej. Un caso real

Un importante banco recibe un correo electrónico en el que le exigen
250.000$ en Bitcoins o publicarán información confidencial sobra la
entidad.
Adjunto al correo electrónico se recibe un documento Excel con
información contable sobre la compra de unos bloques de pisos al
ayuntamiento de una gran ciudad.
Esa información únicamente estaba disponible para un reducido
número de directivos.

¿Qué ha podido pasar?

Análisis Forense – Manuel Martínez García

 ¿Qué es la informática forense?

Ej. Un caso real

Uno de los directivos con acceso a esa información se la llevó a casa
en el ordenador portátil corporativo para poder trabajar desde su
domicilio.
Estando en su casa, recibió un correo de phishing a través del cual se
le instaló un malware que permitía el acceso remoto al equipo.
Haciendo uso de dicho malware accedieron a la información y a través
de su equipo también pudieron acceder a los recursos compartidos
de la organización donde consiguieron sustraer la información.

Análisis Forense – Manuel Martínez García

Objetivos de un análisis
forense

Análisis Forense – Manuel Martínez García

 Objetivos de un análisis forense

El fin último de toda investigación forense es el esclarecimiento de

los hechos ocurridos de acuerdo a las evidencias recogidas en la
escena del crimen.
Para ello debemos responder a tres preguntas:
1. ¿Qué ha ocurrido?
2. ¿Cómo se ha producido?
3. ¿Quién es el responsable?

¿Qué? ¿Cómo? ¿Quién?

Análisis Forense – Manuel Martínez García

 Objetivos de un análisis forense

¿Qué ha ocurrido?
Para responder a la primera de las preguntas, hay que ser capaz de
detectar los accesos o cambios no autorizados.
Estos cambios no tienen que consistir únicamente en la alteración
física de un archivo (modificándolo o eliminándolo), también debemos
ser capaces de saber qué archivos fueron accedidos, aunque solo se
trate de la lectura y/o copia de los mismos.

Un ejemplo de acceso no autorizado, podría ser el acceso a la

información del teléfono móvil de una persona, cómo ha sucedido con
el teléfono de algunos famosos, en los que un atacante accede a los
datos contenidos en el mismo, sin alterarlos.

Análisis Forense – Manuel Martínez García

 Objetivos de un análisis forense

¿Cómo se ha producido?
Lo que buscamos al dar respuesta a esta pregunta es reconstruir los
pasos dados por el autor de los hechos para llegar a comprender
cómo hizo lo que hizo y ser capaces de evitar que ataques similares se
repitan en el futuro.

Por ejemplo, si hemos sufrido un ataque al servidor web de nuestra

organización, debemos ser capaces de determinar cómo han accedido
(quizá explotando alguna vulnerabilidad) para poder cerrar esa vía de
acceso y evitar así nuevos ataques.

Análisis Forense – Manuel Martínez García

 Objetivos de un análisis forense

¿Quién es el responsable?
La última de las preguntas plantea el reto de saber quién fue el autor
material de los hechos. Quién ha realizado las modificaciones que
han sido detectadas.
En un Análisis Forense no vamos a poder determinar la persona
física que realizó los hechos, sino que vamos a poder determinar
únicamente el usuario (local o remoto) y/o la dirección IP o MAC de
la máquina desde la cual se realizaron las modificaciones detectadas.

Análisis Forense – Manuel Martínez García

Etapas de un análisis
forense

Análisis Forense – Manuel Martínez García

 Etapas de un análisis forense

El NIST (National Institute of Standars and Technology) define en su

guía Guide to Integrating Forensic Techniques into Incident Response*
cuatro etapas o fases para un proceso de Análisis Forense:

Recolectar Procesar Analizar Presentar

* Aunque la guía es de 2006, estas etapas todavía son las globalmente aceptadas (en
ocasiones con alguna ligera variación) como etapas básicas de un Análisis Forense.
La guía se puede descargar de la página web del NIST:
https://csrc.nist.gov/publications/detail/sp/800-86/final

Análisis Forense – Manuel Martínez García

 Etapas de un análisis forense

Recolectar
La recolección de las evidencias es el primer paso que se da a la hora
de realizar un Análisis Forense.
La norma internacional ISO/IEC 27037 divide a su vez esta etapa en
tres partes: identificar, adquirir (nos llevamos sólo la información) o
recolectar (nos llevamos el contenedor de la evidencia) y preservar.

Recolectar

Adquirir /
Identificar Recolectar
Preservar

Análisis Forense – Manuel Martínez García

 Etapas de un análisis forense

Procesar
Procesar los datos recopilados y extraer de ellos los elementos de
información pertinentes.
Analizar
Esos elementos de información y obtener de ellos la información
verdaderamente útil para el caso.
En este punto es donde debemos ser capaces de responder a las
preguntas que nos planteábamos antes:
• ¿Qué se ha alterado?
• ¿Cómo se ha alterado?
• ¿Quién ha realizado dicha alteración?

Análisis Forense – Manuel Martínez García

 Etapas de un análisis forense

Presentar
En un informe pericial los procedimientos realizados y los resultados
obtenidos. Y, en base a ello, plantear las conclusiones a las que los
peritos han llegado.

Análisis Forense – Manuel Martínez García

Cadena de custodia

Análisis Forense – Manuel Martínez García

 Cadena de custodia

Como ya hemos comentado, las evidencias que obtengamos de un

análisis forense deben de poder ser presentadas como medio de
prueba en un procedimiento judicial.
Pero, para que un elemento pueda servir como elemento probatorio en
un procedimiento judicial se tiene que poder asegurar que dicho
elemento no ha sido alterado desde el momento de su recolección
hasta su análisis y presentación. Para ello se utiliza la cadena de
custodia.

Recolectar Procesar Analizar Presentar

Garantizamos la no modificación gracias a la cadena de custodia

Análisis Forense – Manuel Martínez García

 Cadena de custodia

La cadena de custodia es el proceso mediante el cual la evidencia es

transmitida sin modificación alguna, desde quien la ocupa, hasta quien
la analiza.
Los objetivos que se a conseguir mediante el uso de la cadena de
custodia son:

Garantizar la integr idad de la evidencia, impidiendo que se realice cualquier

1
cambio sobre la misma.

2 Garantizar su autenticidad, permitiendo contrastar su origen.

Garantizar la posibilidad de localización, permitiendo saber en cualquier

3
momento dónde se encuentra una evidencia.

4 Garantizar la tr azabilidad de los accesos a la evidencia.

5 Garantizar su pr eser vación a largo plazo.

Análisis Forense – Manuel Martínez García

 Cadena de custodia

En el ámbito del Forense Digital, el mantenimiento de la cadena de

custodia se suele llevar a cabo mediante la documentación de las
personas custodiantes de la evidencia y el uso de funciones hash que
garanticen la integridad de la misma.
Una función hash es una función matemática que tiene como
entrada un conjunto de elementos (normalmente la información
contenida en la evidencia) y que genera como salida un conjunto de
elementos de longitud finita.

Entrada Función Hash

(longitud arbitraria) hash (longitud fija)

Análisis Forense – Manuel Martínez García

 Cadena de custodia

Funciones hash
Imaginad que una función hash es como una caja negra.
Por un lado, recibe información (toda la información contenida en un
disco duro o un pendrive, el contenido de un archivo, una cadena de
texto, cualquier tipo de información) y por el otro obtenemos un
resultado en forma de cadena hexadecimal de una longitud fija.
Entre las distintas características presentes en las funciones hash, las
que más nos interesan son:
• Inyectividad
• Un solo sentido
• Determinista
• Resistente a colisiones

Análisis Forense – Manuel Martínez García

 Cadena de custodia

Funciones hash: Inyectividad

En las funciones hash cada posible entrada se mapea a un valor hash
único y diferente*.

* Esto veremos que no es así, ya que, si el rango de valores posibles para la entrada es
infinito pero la salida no lo es (es finita), en algún momento dos entradas distintas
generarán la misma salida.

Análisis Forense – Manuel Martínez García

 Cadena de custodia

Funciones hash: Un solo sentido

Las funciones hash funcionan en un solo sentido. Podemos calcular el
hash del contenido de un disco duro, de un archivo o de una cadena
de texto, pero no podemos obtener la información del disco duro,
del archivo o la cadena de texto a partir de su hash.

Disco duro
Pendrive Función
Hash
Archivo hash
Cadena de texto

Análisis Forense – Manuel Martínez García

 Cadena de custodia

Funciones hash: Determinista

Una función hash se dice que es determinista cuando una entrada
genera siempre la misma salida.

Función Hash
hash ecc7a952548cfa87de4df2e9a13211
df

Función Hash
hash ecc7a952548cfa87de4df2e9a13211
df

Análisis Forense – Manuel Martínez García

 Cadena de custodia

Funciones hash: Resistente a colisiones

Se dice que una función hash es resistente a colisiones cuando
encontrar dos entradas distintas que generen la misma salida es
computacionalmente imposible.
Se dice que una función hash es resistente a casi colisiones cuando
encontrar dos entradas distintas que generen una salida similar
(que difieran únicamente en unos pocos bits) es computacionalmente
imposible.
¡NOTA!
Se ha conseguido incumplir esta propiedad en los algoritmos hash
MD5 y SHA1. Esto quiere decir que por separado no deben ser
utilizados en informática forense. Si que es válido indicar los dos
algoritmos de manera conjunta.

Análisis Forense – Manuel Martínez García

 Cadena de custodia

Funciones hash: Algoritmos más típicos

Funciones o algoritmos hash hay muchos, pero algunos de los más
típicos (seguro que os suenan) son:
• MD5: Abreviatura de Message-Digest algorithm 5, genera
salidas de 128 bits (32 caracteres hexadecimales).
• SHA o SHA1: Abreviatura de Secure Hash Algorithm, genera
salidas de 160 bits (40 caracteres hexadecimales)
• SHA2: Segunda versión del algoritmo SHA, genera salidas de
224, 256, 384 o 512 bits.
• SHA3: Tercera y última versión del algoritmo SHA. Al igual que
SHA2, genera salidas de 224, 256, 384 o 512 bits.

Análisis Forense – Manuel Martínez García

 Cadena de custodia

Funciones hash: Algoritmos más típicos

Entrada Algoritmo Hash Salida

forense MD5 e1576f172c3b126ae7a6026e8995da85

Forense MD5 f0128cf087fa49732bf066306d5f4a6f

forense SHA1 12fce1fcce8913c12c37e925500af2e03016289a

Forense SHA1 da984d2a2eaa8acf2289ccbc388c812ef21c97ed

forense SHA2-256 936eadf290e12e795165cae5486a24a97b9009303287704f4f6242d439d1e0ea

Forense SHA2-256 d83dbbd04ed9d7272cd8548206794df45403fbfc7246f16273ae09c38152196a

forense SHA3-256 9acebe86ba16f103ab20adf5b0fe9d9ee3b87b2d4dcd57b8b352abc5dd3ca413

Forense SHA3-256 a76266d05884ff50fa0106c82efe72b72ebe4cb8902f363aea40ab5647573407

Análisis Forense – Manuel Martínez García

 El perito judicial y las
repercusiones legales

Análisis Forense – Manuel Martínez García

 El perito judicial y las repercusiones legales

¿Quién puede ser perito?

Según la legislación española, un perito es un “experto” en una
materia concreta, no siendo necesaria ningún tipo de titulación.
Ahora bien, en un juicio se tiende a valorar más al perito con
experiencia y formación que al perito que no tiene formación.
Podemos apuntarnos al turno de oficio directamente en el juzgado, a
través del Colegio Profesional (si existe) o a través de una asociación

Análisis Forense – Manuel Martínez García

 El perito judicial y las repercusiones legales

Falsedad en la pericia
Como peritos, tenemos responsabilidad penal:
• Por dolo: Hacer algo a sabiendas de que no es legal.
• Por imprudencia: No tratar la evidencia con el cuidado que se
espera de nosotros.
• Por falta de celo: No realizar nuestro análisis de manera
suficientemente profesional.
Las penas se fijan legalmente en los artículos 458, 459 y 460 del
Código Penal español y abarcan desde nuestra inhabilitación como
profesional hasta penas de cárcel.

Análisis Forense – Manuel Martínez García

Análisis Forense – Manuel Martínez García
www.unir.net