Informática Forense

Actividad Evaluativa Eje 4

Fundación Universitaria Del Área Andina

Facultad De Ingeniería

Ingeniería De Sistema Virtual

Bairon Heraldo Ceron Pantoja

Lizeth Johana Cuitiva Duarte

Wilson Francisco Ardila Orduz

2021
 2

Introducción

El análisis forense es una rama de la seguridad informática que surge a raíz de la evolución de
estafas, fraudes y eventos de seguridad que comprometen la integridad de las personas o
perdidas incalculables a organizaciones. El objetivo del análisis forense es investigar lo ocurrido
por acciones que afecten a terceros, en busca de identificar los posibles autores, causas y
métodos utilizados.

Reconstruye los hechos del cómo han vulnerado un sistema.

La informática forense es una técnica usaba en la investigación de crímenes y con la intervención

de un profesional especializado haciendo uso de equipos tecnológicos o aplicaciones podrá
determinar los causales de la vulneración y que ayuda a determinar los siguientes interrogantes
¿quién realizo el ataque?, ¿cómo se realizó?, ¿desde donde se realizó?, ¿cuándo se realizó el
ataque?, ¿para que se realizó?, por lo tanto en este trabajo se enfoca en realizar uno escaneo
por medio de la herramienta NMAP con el fin de identificar las vulnerabilidades que presenta en
un sistema de información.
 3

Objetivo General

Realizar una prueba de escaneo a un sistema de información con el fin de encontrar

vulnerabilidades en los servicios más utilizados por parte de la agencia inmobiliaria y generar un
informe el cual detalle e identifique las vulnerabilidades con el fin de ser corregidas en la brevedad
de tiempo.

Objetivos Específicos

 Realizar cronograma de actividades

 Asignar responsabilidades en cada proceso de ejecución
 Implementación de la herramienta NMAP
 Presentar informe
 4

Cronograma De Actividades

Visita Preliminar

Se realizarán pruebas de vulnerabilidades a los sistemas de información de una agencia

inmobiliaria la cual tiene oficinas en varias ciudades de Colombia, por lo cual se eligió la oficina
ubicada en la ciudad de Bogotá D.C agencia llamada inmobiliaria mubrick en la cual se hizo una
visita por parte de un profesional en auditoria con el fin de familiarizarse con la oficina.

Entrevista A La Gerencia

Se realizó una entrevista con el gerente de la oficina por parte del ingeniero en ciberseguridad
con el fin de obtener información en cuanto a que sistemas de información son más utilizados
con más frecuencia y en cuál de ellos es maneja más información de interés y podría correr más
riesgos en caso de un ataque.

Identificación Del Sistema De Información A Evaluar

De acuerdo a la entrevista realizada por parte del ingeniero en ciberseguridad se realizó un análisis
por parte del analista en informática forense y se logró identificar el sistema de información con
información de más importancia para la agencia en esa oficina por lo tanto se eligió a un equipo
de cómputo en el cual será hará el escaneo por medio de la herramienta nmap con el fin de
encontrar vulnerabilidades en el sistema de información.
 5

Prueba De Escaneo Con Herramienta Nmap

En esta prueba de escaneo se utilizó la aplicación Kali Linux con el fin de ejecutar la herramienta
nmap para escanear el equipo de cómputo de la oficina

Al identificar su dominio el cual es mubrick.com lo que vamos hacer es ingresar a la aplicación de

Kali Linux colocar el comando sudo nmap s-S –Sv –PN mubrick.com para identificar los servicios
que se están ejecutando.
6
 7

Identificación De Servicios Asociados Al Sistema De Información

Se evidencia mediante el escaneo los siguientes servicios:

Puerto Estado Servicio Versión

20/tcp closed ftp-data
21/tcp open ftp Pure-FTPd
25/tcp open smtp?
26/tcp open smtp Exim smtpd 4.94.2
53/tcp open domain (unknown banner:BIND)
80/tcp open http Apache
110/tcp open pop3 Dovecot pop3d
143/tcp open imap Dovecot imapd
443/tcp open ssl/https Apache
465/tcp open ssl/smtp Exim smtpd 4.94.2
587/tcp open smtp Exim smtpd 4.94.2
993/tcp open ssl/imaps?
995/tcp open ssl/pop3s?
 8

Informe Prueba De Vulnerabilidades A La Agencia Inmobiliaria Mubrick

Introducción

Es importante como investigadores informáticos forenses tener en cuenta lo que significa la

cadena de custodia, debemos tener en cuenta que en cualquier tipo de investigación es necesario
asegurar las evidencias obtenidas a través de un proceso.

Justificación

Anteriormente se realizó una prueba de vulnerabilidad a la agencia por medio de la herramienta

nmap en la cual se encontraron algunos puertos de servicios abiertos, esto conllevo a confirmar
con el gerente de la inmobiliaria que las sospechas de que existe un cracker que se está
aprovechando de sus conocimientos y experiencia y aprovechándose que tiene acceso a recursos
computacionales como lo son usuarios contraseñas, violando el sistema de seguridad informático
de la agencia inmobiliaria, accediendo a sus servidores robando información confidencial de los
clientes de la agencia alimentada en una hoja de cálculo con tablas dinámicas lo cual público en
internet

Se requiere investigar el origen de ese incidente posibles responsables herramientas informáticas

utilizadas, daños ocasionados, fallas que permitieron el ilícito y correcciones y recomendaciones

Objetivos Específicos

 Registrar cómo se adquiere la evidencia

 Registrar La adquisición de la información
 Registrar cómo se custodia la evidencia.
 Detallar cómo se controla la evidencia.
 Registrar cómo se transfiere la evidencia
 Detallar el procedimiento que realiza para analizar la evidencia.

Proceso De Investigación

El día 28 de mayo de 2021 un funcionario informa a sus superiores de la agencia inmobiliaria

mubrick Bogotá-Colombia que el equipo destinado para mantener las bases de datos de los
clientes de los últimos años, soportada en una hoja de cálculo con tablas dinámicas, presenta
registros borrados. El señor juan Carlos Gómez administrador descubre esa incidencia porque al
consultar el archivo la información estaba incompleta.

Como primer paso para el desarrollo de la investigación reunimos los permisos y/o autorizaciones
necesarias, así como los acuerdos de confidencialidad para desarrollar la investigación.

Identificamos el equipo afectado el cual se encuentra en la oficina de secretaria este equipo tiene
como función guardar las bases de datos de los clientes de la inmobiliaria
 9

Identificación del equipo

Equipo: Lenovo V530S

Procesador Intel core i5-8400 2.80 GHz

RAM 8 GB de DDR4

Sistema operativo Windows 10 pro licenciado

Disco mecánico de 1 tera wester

Formulario De Cadena De Custodia

 10

Entrevista Con El Administrador

En entrevista con el administrador se identifica el personal que trabaja en las oficinas cercanas a
la ubicación donde se encuentra el equipo afectado, y cuales funcionarios tienen acceso al equipo

Funcionarios

Adquisición De La Evidencia

Una vez identificado el equipo que fue víctima e identificar también los posibles responsables y
haber efectuado el registro en la cadena de custodia vamos a aplicar la etapa de la adquisición
de la información, Es una etapa de resaltar ya que hace parte del inicio de la investigación tiene
mucho que ver en la obtención de resultados.

Tipo De Adquisición

Al momento de utilizar esta fase de investigación se debe tener en cuenta que tipo de adquisición
para este caso se hará uso de la copia en frio en el sistema que permanece apagado, la ventaja
de ese tipo de copiado es la no perdida de la información a utilizar la copia en caliente es decir
con el sistema encendido se corre el riesgo de alteración de la información recolectada.

Dado a que la información puede ser dañada muy fácilmente vamos a utilizar ese tipo de copiado.
Copia bitstream o bit-stream; también conocido como binary sequence o secuencia de binarios,
es una copia que va bit a bit tomando el contenido, es una copia fidedigna y exacta.

Fuentes De Adquisición

Son los orígenes desde donde se tomará la información que se desea analizar, estas fuentes
generalmente son físicas pero cada una con mecanismos diferentes de trabajo que marcan la
diferencia en cómo se debe obtener o sacar dicha información de estos.

Existen varios tipos de fuentes de adquisición como lo son Adquisición de memoria, Adquisición
física, Adquisición lógica, pero en ese caso se hará uso de la adquisición física.
 11

Adquisición Física

Para este caso se hará copia entera del disco físico, en modo de lectura preservando la
información original y sin riesgo de alteración de igual forma garantizando la integridad de la
información y generalmente la fuente original estará apagada

La herramienta que vamos a utilizar es una que es desarrollada exclusivamente para preservar la
información original durante el copiado de información en ese caso será el aplicativo DD.

En ese caso se realizarán dos copias de la información original para el análisis de la información

Teniendo en cuenta el procedimiento a realizar tendremos en cuenta al momento de realizar una

copia, se debe asegurar la fuente original, esta debe ser conectada en modo solo lectura. Por
ninguna razón se debe alterar la información origen.

Por lo tanto, se realiza la copia a través de la herramienta Clonador de discos; el cual es un

dispositivo físico diseñado exclusivamente para obtener información de un disco origen y
depositarla en un disco destino, bit a bit.

Evidencias Digitales Adquiridas

 Clonación del Disco Duro mediante el aplicativo DD

 Creación de dos copias del disco duro mediante el software FTK imager
 12

Una vez obtenida la información ahora lo que vamos a hacer es aplicar las otras fases de la
investigación forense como lo son custodia, control, transferencia y análisis del procedimiento
efectuado

Custodia Y Control

Este paso busca asegurar que el archivo original que tomó como evidencia conserva su integridad
desde el momento de la adquisición y no ha sido objeto de manipulación durante el tiempo
transcurrido entre la adquisición de la evidencia y la presentación como prueba

Por lo tanto, se mantendrá los discos o unidades de almacenamiento en un lugar adecuado, que
no permita la manipulación por terceros, lo que se busca es proteger la integridad de la
información sin que sea alterada o destruida.

Luego de analizar el problema recolectar evidencias y preservar las mismas continuamos con el
proceso de investigación

Transferencia

FTP O FILE TRANSFER PROTOCOL (PROTOCOLO DE TRANSFERENCIA DE FICHERO) Un estándar

de Internet para transferir ficheros entre ordenadores. La mayoría de las transferencias FTP
requieren que usted se meta en el sistema proveyendo la información mediante un nombre
autorizado de uso y una contraseña. Sin embargo, una variación conocida como "FTP anónimo"
le permite meterse como anónimo: no necesita contraseña o nombre.

Es la observación en sí, determinándose que la información es efectivamente la que se desea

indagar. Siendo los casos más normales, como para ejemplificar, el chequeo de historial de
navegación, recuperación de archivos de texto o imágenes borrados de forma poco segura, entre
otros procedimientos

De acuerdo a esto se ejecutó el software WINHEX buscando encontrar la navegación en horarios

los cuales no puede hacerlo el administrador de la base de daos es decir en horarios nocturnos

El Procedimiento Utilizado

Se seleccionó un equipo de la agencia el cual tiene las mismas características del servidor y
clonamos una de las copias al disco duro luego hacemos una validación hash para comprobar la
integridad del clonado y arrancamos el sistema

Nos logueamos con el usuario root credenciales facilitados por el usuario del equipo atacado de
la agencia y su password es admin2, lo que nos da a entender el nivel de seguridad aplicada a
él.
 13

Validamos que software se ha instalado recientemente con el comando

rmp -qa –last

Resultado

Xchat-2.8.8-0 vier 19 nov 2021 22:10:15 COT

sudo-2.8.8-0 vier 19 nov 2021 22:10:15 COT

stunnel-3.13-3 sab 20 nov de 2021 17:00:59 COT

strace-4.2.20010119-3 sab 20 nov de 2021 17.00:59 COT

Se puede ver la instalación del 19 de noviembre de 2021 de un software de mensajería

instantánea llamado xchat. Analizando podemos determinar que no existe otro usuario en el
servidor además del root. Lo cual significa que la persona que ha instalado el software de IRC lo
hizo con ese usuario, lo más probables es que se ha conectado a canales de chat desde este perfil

Miramos los logs fallidos en /var/log//failog, y podemos observar el que el dia del incidente se
dieron muchas conexiones infructuosas al servidor con el usuario root antes de ser acusado
 14

Se observa que existen horas comunes de logins correctos entre las 6:00 y 6:57 y entre las 22:56
y 23:51, es normal el acceso en la mañana y durante el día, pero en el de la noche, además el
usuario de la base de datos trabaja solo en el día

Se examina el archivo volcado de la memoria RAM del archivo atacado, se analiza con el software
WINHEX y vemos que en horas de la noche existe navegación a páginas para adulos y chat

Encontramos un pendrive USB conectado al servidor se analiza y se ubica un archivo con el

nombre de listadochat.doc, lo llevamos a un equipo con sistema de Windows se intenta abrir con
aplicación Microsoft Word y no es posible ya que tiene contraseña, entonces se ejecuta el software
Passware, el cual tiene como función descubrir las contraseñas en archivos protegidos
 15

Se ubica el documento protegido con contraseña, el software descubre la contraseña la cual es

el numero 13 lo cual facilito su fácil acceso

Abrimos el archivo y encontramos un documento con nombres y correos electrónicos.

Investigamos con el jefe del personal y nos manifiesta que en la noche solo queda el vigilante
que no queda más nadie en la agencia en horas nocturnas, de igual forma le preguntamos al
administrador encargado de la base de datos y responsable, si de pronto el vigilante sabe la clave
del usuario root del equipo afectado y acepta que sí, que se la dio un día para consultar una
información en internet, ya que los demás equipos estaban ocupados.

Dado a esto se ejecuta el software Wireshark y se deja activo toda la noche para que capture
todo el tráfico de la red en las horas de la noche

Al otro día analizamos el tráfico y se encuentran trazas con los nombres de los contactos
registrados en el archivo de Word, concluimos que el vigilante volvió a ingresar en esa noche a
la plataforma chat XCHAT, confirmando que él es la persona que por su actuación antiética o
indebida ingreso desde el servidor portales web peligrosos, por lo tanto propicio el incidente de
seguridad al servidor, todo por la falta de gestión en la seguridad del servidor por parte de la
persona responsable de la base de datos y este equipo.

Concluimos que a través del programa chat alguien logro detectar la dirección ip y penetrar el
sistema por tener un usuario root y una contraseña tan fácil de identificar, podemos decir que
utilizaron un software de ataque de fuerza bruta a que el día del incidente se dieron más de 16
intento de conexión fallidos, antes de la conexión en la cual pudieron ingresar utilizando el
protocolo ssh

Hallazgos encontrados
Hallazgos Observaciones
Equipo lento Debido a las características
del equipo y su tiempo de
uso
Sin copias de seguridad Pueden tener perdida de la
información al no hacer
copias de seguridad
Antivirus no actualizado Posibles problemas por
virus o robo de información
Sistema operativo Riesgos de seguridad
desactualizado debido a la falta de
actualización
Usuario root y contraseña Se puede evidenciar las
contraseñas tan fáciles de
descifrar del usuario
responsable de la base de
datos
No se cumplen las Se pudo evidenciar como el
políticas de seguridad vigilante ingresa en horas
nocturnas las cuales las
oficinas deben de estar
cerradas y además el
equipo de cómputo solo
debe tener acceso el
responsable
Navegador Navegador almacena
mucha información de
relevancia
16
Recomendaciones
Se hace necesario cambio
de equipo
Realizar periódicamente
copias de seguridad
Actualizar la licencia del
antivirus
Actualizar todos los
parches de seguridad del
sistema operativo
Implementar contraseñas
mínimo de 8 dígitos con
dígitos especiales
Implementar políticas de
seguridad en cuanto a la
seguridad de los equipos
de la agencia y
prohibición de ingreso de
personal no autorizado
Se recomienda
capacitación al personal
de las oficinas sobre el
uso de navegadores que
no dejen registro de la
actividad en la web
 17

Acceso no autorizado a Se pudo evidenciar como Limitar el acceso de los

las oficinas de la agencia personas ajenas a la oficina usuarios a los equipos de
ingresan a los equipos de la la agencia
agencia
 18

Conclusiones

A través de la informática forense la cual se considera una ciencia, es posible Realizar diferentes
investigaciones relacionadas con cualquier delito o ilegalidad, obteniendo las pruebas necesarias
y efectivas antes Tribunales, para facilitar el enjuiciamiento de sujetos delictivos o involucrados.

La informática forense puede ayuda a realizar recomendaciones porque permite tomar medidas
de control para organizaciones y/o en el hogar.

Antes de ejecutar cualquier herramienta que brinda la informática forense es importante que
quien la ejecute este familiarizado o conozca dicha herramienta.

Todo administrador de un sistema de información debe estar preparado para cualquier tipo de
incidente y pueda actuar de manera que no altere o comprometa la información a investigar.
 19

Bibliografía

Arellano, L. E. (2012). La cadena de custodia informático-forense. Revista ACTIVA, Numero

3(ISSN 2027–8101), 67–81. https://n9.cl/jwf0l

C. (2018, 30 diciembre). ¿Qué es la cadena de custodia? Informático Forense.

https://www.informatico-forense.es/que-es-la-cadena-de-custodia/

Informática forense: el camino de la Evidencia digital. (s. f.). Ciencia y Técnica Administrativa.
Recuperado 7 de junio de 2021, de
http://www.cyta.com.ar/biblioteca/bddoc/bdlibros/informatica_forence.htm

Picón, E. (2021, 18 abril). La cadena de custodia de la prueba digital. Perito Informático -

Peritaje informático. https://peritoinformatico.es/cadena-de-custodia-peritaje-informatico/