01 - Tema 01

Respuesta a Incidentes y Análisis Forense
Juan José Delgado
Introducción a la Respuesta a Incidentes

y Análisis Forense
Universidad Internacional de La Rioja

Índice
Índice
1. ¿Qué es un incidente?
2. Las distintas aproximaciones a la Respuesta a Incidentes
3. Procesos clave de la Respuesta a Incidentes
4. ¿Qué es el Forense Digital?
5. Objetivos de un análisis forense
6. Etapas de un análisis forense
7. Aspectos legales del Forense Digital
Respuesta a Incidentes y Análisis Forense – Juan José Delgado

¿Qué es un incidente?
¿Qué es un incidente?
Un incidente de seguridad es un evento no deseado con alta

probabilidad de comprometer las operaciones de la organización.
Un incidente de seguridad amenaza alguna (o varias) de las
dimensiones de la seguridad de la información:
• Confidencialidad
• Disponibilidad
• Integridad

Las distintas aproximaciones a la Respuesta a Incidentes
Existen diferentes aproximaciones a la Respuesta a Incidentes:

• Continuidad de negocio: Se enfoca en que los procesos
productivos de la organización no se detengan o se vean
afectados (o al menos, afectados lo menos posible) ante
cualquier eventualidad (ej. Incendio data center OVH, errores
humanos, etc.)
• Recuperación ante desastres: La recuperación ante desastres
supone el restablecimiento de la infraestructura tecnológica
ante un incidente. El plan de recuperación ante desastres
debería estar alineado con el de continuidad de negocio.

Las aproximaciones anteriores se consideran aproximaciones

reactivas. Se basan en cómo tratar un incidente una vez ha ocurrido.
Ahora bien, existen también aproximaciones proactivas que buscan
prevenir el incidente o establecer con anterioridad los mecanismos
necesarios para minimizar sus daños.
Normalmente, estos servicios proactivos se centran en:
• Divulgar información relativa a la ciberseguridad (desde
consejos hasta la notificación de vulnerabilidades públicas)
• Vigilancia y auditorías de seguridad de los sistemas
• Servicios de detección temprana de intrusiones, fugas de
información, etc.

Procesos clave de la Respuesta a Incidentes
Existe varias metodologías de gestión de incidentes, aunque todas

suelen coincidir en lo que serían los procesos clave de la Respuesta
ante Incidentes:
Sistemas de Procedimientos Estrategia de Investigación y

detección de respuesta comunicación análisis

• Sistemas de detección: Es necesario disponer de mecanismos de

alerta temprana para poder conocer con la mayor antelación
posible la existencia de un incidente.
• Procedimientos de respuesta: Se debe elaborar un plan de
respuesta con las acciones que los distintos equipos deben
abordar en los diferentes escenarios que pueden surgir.
• Estrategia de comunicación: Con clientes, entidades implicadas,
etc.
• Investigación y análisis: Es muy importante la investigación
detallada de los incidentes de seguridad sufridos de modo que se
puedan aprender lecciones a futuro y se extraiga el máximo
conocimiento del incidente sufrido

¿Qué es el Forense Digital?
El proceso de investigación de los sistemas de información para

detectar toda evidencia que pueda ser presentada como medio de
prueba fehaciente para la resolución de un litigo dentro de un
procedimiento judicial.
Incibe (Instituto Nacional de Ciberseguridad, España)
The art and science of applying computer science knowledge and

skills to aid the legal process.
Christopher Brown

Digital Forensics refer to a set of methodological procedures and

techniques that help identify, gather, preserve, extract, interpret,
document, and present evidence… is acceptable during a legal and/or
administrative proceeding.
El Forense Digital se refiere a un conjunto de procedimientos y

técnicas metodológicas que ayudan a identificar, reunir, preservar,
extraer, interpretar, documentar y presentar pruebas de equipos
informáticos, por lo que cualquier prueba descubierta es aceptable
durante un procedimiento legal y/o administrativo
Computer Hacking Forensic Investigator-CHFI | EC-Council

Una ciencia
Porque aplicamos procedimientos y técnicas científicas, realizamos
experimentos y validamos metodologías a aplicar.
Un arte
Porque en muchas ocasiones vamos a depender de nuestro “olfato”
para localizar las evidencias e incluso pensar cómo el “malo” ha
podido realizar la acción que estamos investigando.

Hemos mencionado el concepto de “evidencia digital”. Ahora bien,

¿Qué es una evidencia digital?
Según la norma internacional ISO/IEC 27037 (disponible en la

biblioteca de la Universidad), la evidencia digital es:
“Aquel conjunto de información almacenada o transmitida de

manera binaria que puede ser utilizado como medio de prueba”
Información
almacenada o Binaria Prueba
transmitida

La evidencia digital es la información (el log, los archivos ofimáticos,

el registro de eventos, una captura de red, etc.), la evidencia digital no
es el disco duro o el pendrive, estos elementos son contenedores
de potenciales evidencias digitales

Las evidencias digitales deben cumplir una serie de características

para poder ser utilizadas como medio de prueba:
1. Admisible: Las evidencias deben estar relacionadas con el
hecho que se quiere probar.
2. Auténtica: Las evidencias deben ser reales y estar
relacionadas con el incidente de manera adecuada.
3. Completa: Las evidencias deben probar las acciones del
atacante o su inocencia.
4. Confiable: No debe haber ninguna duda sobre la
autenticidad y veracidad de las evidencias.
5. Creíble: Las pruebas deben ser claras y comprensibles para
los jueces.

Objetivos de un análisis forense
El fin último de toda investigación forense es el esclarecimiento de

los hechos ocurridos de acuerdo a las evidencias recogidas en la
escena del crimen.
Para ello debemos responder a tres preguntas:
1. ¿Qué ha ocurrido?
2. ¿Cómo se ha producido?
3. ¿Quién es el responsable?
¿Qué? ¿Cómo? ¿Quién?

¿Qué ha ocurrido?
Para responder a la primera de las preguntas, hay que ser capaz de
detectar los accesos o cambios no autorizados.
Estos cambios no tienen que consistir únicamente en la alteración
física de un archivo (modificándolo o eliminándolo), también debemos
ser capaces de saber qué archivos fueron accedidos, aunque solo se
trate de la lectura y/o copia de los mismos.
Un ejemplo de acceso no autorizado, podría ser el acceso a la

información del teléfono móvil de una persona, cómo ha sucedido con
el teléfono de algunos famosos, en los que un atacante accede a los
datos contenidos en el mismo, sin alterarlos.

¿Cómo se ha producido?
Lo que buscamos al dar respuesta a esta pregunta es reconstruir los
pasos dados por el autor de los hechos para llegar a comprender
cómo hizo lo que hizo y ser capaces de evitar que ataques similares se
repitan en el futuro.
Por ejemplo, si hemos sufrido un ataque al servidor web de nuestra

organización, debemos ser capaces de determinar cómo han accedido
(quizá explotando alguna vulnerabilidad) para poder cerrar esa vía de
acceso y evitar así nuevos ataques.

¿Quién es el responsable?
La última de las preguntas plantea el reto de saber quién fue el autor
material de los hechos. Quién ha realizado las modificaciones que
han sido detectadas.
En un Análisis Forense no vamos a poder determinar la persona
física que realizó los hechos, sino que vamos a poder determinar
únicamente el usuario (local o remoto) y/o la dirección IP o MAC de
la máquina desde la cual se realizaron las modificaciones detectadas.

Etapas de un análisis forense
El NIST (National Institute of Standars and Technology) define en su

guía Guide to Integrating Forensic Techniques into Incident Response*
cuatro etapas o fases para un proceso de Análisis Forense:
Recolectar Procesar Analizar Presentar
* Aunque la guía es de 2006, estas etapas todavía son las globalmente aceptadas (en
ocasiones con alguna ligera variación) como etapas básicas de un Análisis Forense.
La guía se puede descargar de la página web del NIST:
https://csrc.nist.gov/publications/detail/sp/800-86/final

Recolectar
La recolección de las evidencias es el primer paso que se da a la hora
de realizar un Análisis Forense.
La norma internacional ISO/IEC 27037 divide a su vez esta etapa en
tres partes: identificar, adquirir (nos llevamos sólo la información) o
recolectar (nos llevamos el contenedor de la evidencia) y preservar.
Recolectar
Adquirir /
Identificar Preservar
Recolectar

Procesar
Procesar los datos recopilados y extraer de ellos los elementos de
información pertinentes.
Analizar
Esos elementos de información y obtener de ellos la información
verdaderamente útil para el caso.
En este punto es donde debemos ser capaces de responder a las
preguntas que nos planteábamos antes:
• ¿Qué se ha alterado?
• ¿Cómo se ha alterado?
• ¿Quién ha realizado dicha alteración?

Presentar
En un informe pericial los procedimientos realizados y los resultados
obtenidos. Y, en base a ello, plantear las conclusiones a las que los
peritos han llegado.

Aspectos legales del Forense Digital
Cadena de custodia
Las evidencias que obtengamos deben de poder ser presentadas
como medio de prueba en un procedimiento judicial.
Pero, para que un elemento pueda servir como elemento probatorio en
un procedimiento judicial se tiene que poder asegurar que dicho
elemento no ha sido alterado desde el momento de su recolección
hasta su análisis y presentación. Para ello se utiliza la cadena de
custodia.
Recolectar Procesar Analizar Presentar
Garantizamos la no modificación gracias a la cadena de custodia

Cadena de custodia
La cadena de custodia es el proceso mediante el cual la evidencia es
transmitida sin modificación alguna, desde quien la ocupa, hasta quien
la analiza.
Los objetivos que se a conseguir mediante el uso de la cadena de
custodia son:
Garantizar la integr idad de la evidencia, impidiendo que se realice cualquier

1
cambio sobre la misma.
2 Garantizar su autenticidad, permitiendo contrastar su origen.
Garantizar la posibilidad de localización, permitiendo saber en cualquier

3
momento dónde se encuentra una evidencia.
4 Garantizar la tr azabilidad de los accesos a la evidencia.
5 Garantizar su pr eser vación a largo plazo.

Cadena de custodia
En el ámbito del Forense Digital, el mantenimiento de la cadena de
custodia se suele llevar a cabo mediante la documentación de las
personas custodiantes de la evidencia y el uso de funciones hash que
garanticen la integridad de la misma.
Una función hash es una función matemática que tiene como
entrada un conjunto de elementos (normalmente la información
contenida en la evidencia) y que genera como salida un conjunto de
elementos de longitud finita.
Entrada Función Hash

(longitud arbitraria) hash (longitud fija)

Cadena de custodia. Funciones hash

Imaginad que una función hash es como una caja negra.
Por un lado, recibe información (toda la información contenida en un
disco duro o un pendrive, el contenido de un archivo, una cadena de
texto, cualquier tipo de información) y por el otro obtenemos un
resultado en forma de cadena hexadecimal de una longitud fija.
Entre las distintas características presentes en las funciones hash, las
que más nos interesan son:
• Inyectividad
• Un solo sentido
• Determinista
• Resistente a colisiones

Cadena de custodia. Funciones hash. Inyectividad

En las funciones hash cada posible entrada se mapea a un valor hash
único y diferente*.
* Esto veremos que no es así, ya que, si el rango de valores posibles para la entrada es
infinito pero la salida no lo es (es finita), en algún momento dos entradas distintas
generarán la misma salida.

Cadena de custodia. Funciones hash. Un solo sentido

Las funciones hash funcionan en un solo sentido. Podemos calcular el
hash del contenido de un disco duro, de un archivo o de una cadena
de texto, pero no podemos obtener la información del disco duro,
del archivo o la cadena de texto a partir de su hash.
Disco duro
Pendrive
Función Hash
Archivo hash
Cadena de texto

Cadena de custodia. Funciones hash. Determinista

Una función hash se dice que es determinista cuando una entrada
genera siempre la misma salida.
Función Hash
hash ecc7a952548cfa87de4df2e9a13211
df
Función Hash
hash ecc7a952548cfa87de4df2e9a13211
df

Cadena de custodia. Funciones hash. Resistente a colisiones

Se dice que una función hash es resistente a colisiones cuando
encontrar dos entradas distintas que generen la misma salida es
computacionalmente imposible.
Se dice que una función hash es resistente a casi colisiones cuando
encontrar dos entradas distintas que generen una salida similar
(que difieran únicamente en unos pocos bits) es computacionalmente
imposible.
¡Aviso!
Se ha conseguido incumplir esta propiedad en los algoritmos hash
MD5 y SHA1. Esto quiere decir que por separado no deben ser
utilizados en informática forense. Si que es válido indicar los dos
algoritmos de manera conjunta.


Funciones o algoritmos hash hay muchos, pero algunos de los más
típicos (seguro que os suenan) son:
• MD5: Abreviatura de Message-Digest algorithm 5, genera
salidas de 128 bits (32 caracteres hexadecimales).
• SHA o SHA1: Abreviatura de Secure Hash Algorithm, genera
salidas de 160 bits (40 caracteres hexadecimales)
• SHA2: Segunda versión del algoritmo SHA, genera salidas de
224, 256, 384 o 512 bits.
• SHA3: Tercera y última versión del algoritmo SHA. Al igual que
SHA2, genera salidas de 224, 256, 384 o 512 bits.

Entrada Algoritmo Hash Salida
forense MD5 e1576f172c3b126ae7a6026e8995da85
Forense MD5 f0128cf087fa49732bf066306d5f4a6f
forense SHA1 12fce1fcce8913c12c37e925500af2e03016289a
Forense SHA1 da984d2a2eaa8acf2289ccbc388c812ef21c97ed
forense SHA2-256 936eadf290e12e795165cae5486a24a97b9009303287704f4f6242d439d1e0ea
Forense SHA2-256 d83dbbd04ed9d7272cd8548206794df45403fbfc7246f16273ae09c38152196a
forense SHA3-256 9acebe86ba16f103ab20adf5b0fe9d9ee3b87b2d4dcd57b8b352abc5dd3ca413
Forense SHA3-256 a76266d05884ff50fa0106c82efe72b72ebe4cb8902f363aea40ab5647573407

El perito judicial y las repercusiones legales

Según la legislación española, un perito es un “experto” en una
materia concreta, no siendo necesaria ningún tipo de titulación.
Ahora bien, en un juicio se tiende a valorar más al perito con
experiencia y formación que al perito que no tiene formación.
Podemos apuntarnos al turno de oficio directamente en el juzgado, a
través del Colegio Profesional (si existe) o a través de una asociación.

El perito judicial y las repercusiones legales

Como peritos, tenemos responsabilidad penal:
• Por dolo: Hacer algo a sabiendas de que no es legal.
• Por imprudencia: No tratar la evidencia con el cuidado que se
espera de nosotros.
• Por falta de celo: No realizar nuestro análisis de manera
suficientemente profesional.
Las penas se fijan legalmente en los artículos 458, 459 y 460 del
Código Penal español y abarcan desde nuestra inhabilitación como
profesional hasta penas de cárcel.

www.unir.net

01 - Tema 01

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

01 - Tema 01

Cargado por

Copyright:

Formatos disponibles

Respuesta a Incidentes y Análisis Forense

Juan José Delgado

Introducción a la Respuesta a Incidentes

Universidad Internacional de La Rioja

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Un incidente de seguridad es un evento no deseado con alta

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Las distintas aproximaciones a la Respuesta a Incidentes

Existen diferentes aproximaciones a la Respuesta a Incidentes:

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Las distintas aproximaciones a la Respuesta a Incidentes

Las aproximaciones anteriores se consideran aproximaciones

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Procesos clave de la Respuesta a Incidentes

Existe varias metodologías de gestión de incidentes, aunque todas

Sistemas de Procedimientos Estrategia de Investigación y

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Procesos clave de la Respuesta a Incidentes

• Sistemas de detección: Es necesario disponer de mecanismos de

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

¿Qué es el Forense Digital?

El proceso de investigación de los sistemas de información para

The art and science of applying computer science knowledge and

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

¿Qué es el Forense Digital?

Digital Forensics refer to a set of methodological procedures and

El Forense Digital se refiere a un conjunto de procedimientos y

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

¿Qué es el Forense Digital?

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

¿Qué es el Forense Digital?

Hemos mencionado el concepto de “evidencia digital”. Ahora bien,

Según la norma internacional ISO/IEC 27037 (disponible en la

“Aquel conjunto de información almacenada o transmitida de

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

¿Qué es el Forense Digital?

La evidencia digital es la información (el log, los archivos ofimáticos,

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

¿Qué es el Forense Digital?

Las evidencias digitales deben cumplir una serie de características

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Objetivos de un análisis forense

El fin último de toda investigación forense es el esclarecimiento de

¿Qué? ¿Cómo? ¿Quién?

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Objetivos de un análisis forense

Un ejemplo de acceso no autorizado, podría ser el acceso a la

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Objetivos de un análisis forense

Por ejemplo, si hemos sufrido un ataque al servidor web de nuestra

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Objetivos de un análisis forense

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Etapas de un análisis forense

El NIST (National Institute of Standars and Technology) define en su

Recolectar Procesar Analizar Presentar

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Etapas de un análisis forense

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Etapas de un análisis forense

Respuesta a Incidentes y Análisis Forense – Juan José Delgado

Etapas de un análisis forense

Respuesta a Incidentes y Análisis Forense – Juan José Delgado