DESCRIBA LA ESCENA DEL CRIMEN

SERGIO ANDRES RAMIRE ACOSTA.

CAMILO AUGUSTO CARDONA PATIÑO.

FUNDACION UNIVERSITARIA DEL AREA ANDINA

INGENIERIA DE SISTEMAS
FEBRERO 18 del 2022
 INTRODUCCIÓN

La informática forense está relacionada con las actividades propias asociadas con la
recolección de información de los medios informáticos la cual es utilizada como evidencia en un
caso objeto de investigación. Para esto, utiliza procedimientos y herramientas para adquirir,
preservar, examinar, analizar las pruebas obtenidas de los medios informáticos y a través de un
proceso científico generar conclusiones propias del caso. Por último, se presenta los
respectivos informes donde de manera detallada se describen todos los procesos y
herramientas utilizadas en la investigación.

Dentro de la lectura de diferentes artículos y referentes de investigación, identificaron las guías

relacionadas el análisis forense, el manejo de la evidencia y la cadena de custodia. Se tuvo en
cuenta para la resolución del caso problema presentado partiendo desde las bases iniciales
generando buenas prácticas establecidas por las instituciones y fuerzas del orden autoras de
dichas guías.
 
 
SITUACION PROPUESTA

La empresa Pepito Pérez, el 18 de noviembre 2018, fue objeto de un ataque de Denegación de

servicios, ocasionando, que su servidor principal quedará fuera de línea, al llegar el gerente y
sus empleados encontraron todo aparentemente normal, solo vieron algo curioso, el
computador del gerente está encendido, y el gerente recordaba que lo había apagado, además
habían unos papeles con letra que no erade él en su escritorio, cuando fueron a revisar el
servidor, este estaba completamente inaccesible, preocupados por lo ocurrido deciden llamar a
un investigador forense.

TIPO DE ANALISIS

De manera inicial y partiendo del análisis del caso problema, se toma como primera medida
usar el método de recolección de análisis directo o en caliente, teniendo en cuenta que, aunque
el ataque ya ha terminado y logro su objetivo, según la información dada se tiene que el equipo
usado como medio de ataque el cual es el computador del gerente está encendido. Este a su
vez alega haberlo apagado, permitiendo de esta forma recoger pruebas del sistema afectado,
toda vez que el intruso pudo dejar evidencia o rastro importante para la investigación en dicho
equipo, posterior a esto se procederá a realizar el análisis post-mortem de la escena.

Para este tipo de análisis se utilizan herramientas de respuesta ante incidentes y análisis
forense compiladas de forma que no se realicen modificaciones en el sistema. También cabe
mencionar algunos datos para tener en cuenta para la recolección de las evidencias en el
equipo afectado:

✓ Dado que el dispositivo que se va a analizar está encendido, o en producción, hay que
tener presente el tema de lo volátil de la evidencia.

✓ Si se apaga el equipo de forma no planeada, se pierde evidencia en la memoria RAM, se

pueden aplicar secuencias de comandos al Sistema en el proceso de apagado o reinicio,
servicios de red temporales etc.

✓ El daño, o denegación de servicios a terceras partes que usen el servidor.

✓ Utilizar herramientas específicas, que sean lo menos invasivas posibles. Evitar uso de

herramientas que requieran de instalación, y de paquetes y/o servicios de red adicionales. Usar
herramientas ejecutables, en lo posible desde la línea de comandos y no gráficas (desde una
USB o similar)

✓ Reportar de forma minuciosa toda operación o actividad en el sistema.

Como herramienta validad para recolectar información del equipo se puede realizar un dump o
volcado de la memoria. (Landon Access Memory (RAM)), que consiste en obtener una copia
de los procesos y los datos que residen actualmente-de forma temporal en la memoria RAM
del sistema. Algunas recomendaciones para obtener un volcado de memoria son:

✓Utilizar una herramienta adecuada, reconocida y aceptada (Línea de comandos).

✓Ejecutar la herramienta en un dispositivo externo o interno.

✓Documentar bien el proceso de volcado de memoria. Como resultados del análisis directo

se pueden obtener datos relevantes dentro de la investigación forense, entre los cuales
podemos mencionar:

✓Los procesos en ejecución en un instante en el tiempo.

✓ Archivos abiertos, direcciones IP, puertos abiertos y usados, conexiones de red.

✓ Unidades de red compartidas, permisos

✓ Usuarios activos

✓ Shell remotas

✓ Conexiones remotas tipo VNC, RDP, entre otros

✓ Archivos que tienen aplicado algún tipo de procesos de cifrado. En ciertas ocasiones, si el

sistema esta apagado, se dificulta el proceso de descifrado.

EN LA ESCENA DEL DELITO

1. Asegurar la escena: se retiran a todas las personas extrañas de la escenadel delito
mientras se procede con la investigación, previniendo el acceso no autorizado de personal,
evitando así la contaminación de la evidencia su posible alteración.

2. Recolección de evidencias: se toma registro fotográfico de toda la escenadel crimen, los

computadores, servidor y los documentos.

3. El primer objeto de evidencia son los medios digitales, videos deseguridad, servidores,
empezando por el computador del administrador garantizo la no manipulación de la prueba
electrónica original se realizará una “imagen de datos” forense de datos informáticos
mediante una clave HASH. En todo momento se trabajará sobre la “imagen de
datos” forense obtenida. La prueba original queda en depósito de la empresa.
4. Se procede a realizar el análisis post-morten de la evidencia, se extraerlos archivos de
logs, Documentos digitales, imágenes, cookies, temporales, procesos en ejecución, etc.

 5. Como segundo aspecto aseguramos y etiquetaremos los documentosfísicos dejados en
la escena del crimen, y registro de ingreso y salida del personal.

6. Se asegura las evidencias con el fin de mantener y garantizar la cadenade custodia de
toda la información recolectada en la escena.

7. Se realiza la entrega de la escena y se deja disposición de la administración de la
empresa.

8. Se documenta cada una de las etapas en una bitácora de los hechossucedidos durante
la explotación de la escena del crimen, las evidencias encontradas y posible relación de
sospechosos.
 
 
 BIBLIOGRAFIA.

•h t t p : / / r e p o s i t o r i o . u f p s o . e d u . c o : 8 0 8 0 / d s p a c e u f p s o /
b i t s t r e a m / 1 2 3 4 5 6 7 8 9 /933/1/28012.pdf    

•h t t p s : / / s l i d e p l a y e r . e s / s l i d e / 1 3 2 1 7 7 2 4 /  

•R e f e r e n t e d e p e n s a m i e n t o E j e 1