ENTREGA 1

VERIFICACION DE INTEGRIDAD Y CONCEPTOS DE INFORMATICA FORENSE

HECTOR ALEJANDRO CÁRDENAS

CC.86060643

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERÍA, ESPECIALIZACIÓN EN CIBERSEGURIDAD
CALI VALLE
2022
 DESARROLLO DE LA PRÁCTICA
PROCEDIMIENTO 1
Cargamos el archivo para visualizar los hash creados y sus longitudes:

Modificamos el archivo documento1.txt lo guardamos con el nombre documento2.txt y lo

agregamos en la misma ventana para ver el nuevo hash generado.
Otros documentos variando dos espacios.
 ACTIVIDADES DE CONSULTA

1. Consulte sobre aplicaciones del hash en Ciberseguridad.

• Gestión de contraseña habitualmente, los servicios online guardan y gestionan las

contraseñas en formato hash y no en texto, para una mayor privacidad y seguridad.
De esta manera, en los procesos de recuperación de contraseñas, también se
utilizarían estos códigos en lugar de expresiones de texto plano.

• Detección de malware la utilización de códigos hash que identifican a

determinados programas maliciosos permite detectarlos y eliminarlos de forma
más eficiente y precisa. Por tanto, es una tecnología muy utilizada en la industria
de los antivirus.

• Detección de infracciones de derechos de autor de forma similar al anterior caso,

cuando determinados servicios que detectan contenidos con derechos de autor,
pueden asociarles un hash que sirva para detectar posteriormente nuevos usos
de ese material, de forma automática y muy eficiente.

• El uso principal de las funciones hash es proteger la confidencialidad de una clave.

Es decir, proteger una contraseña de forma que no quede almacenada en un texto
claro dentro de una base de datos. Por ejemplo, si se recibe un ciberataque, los
hackers pueden vulnerar un servicio y robar su base de datos. Pero si las
contraseñas están hasheadas, no se ven expuestas. En caso contrario, las
credenciales serían visibles inmediatamente y causaría un grave problema.

• También se utiliza en páginas web con autenticación de usuario y clave o en

algunas webs que permiten descargar archivos pesados. Otorgan la información
del documento y verifican que no se ha manipulado, para evitar que se descarguen
virus o cualquier programa malicioso ante un archivo sospechoso.

• Para mantener la integridad de los datos, el remitente envía tanto el mensaje como
su valor hash al usuario. El receptor luego verifica si el valor hash del mensaje es
el mismo que el valor hash enviado por el remitente.Esto asegura que no se haya
realizado ninguna modificación en los datos mientras se transmiten. Este proceso
de verificación de integridad se puede ver en sistemas de correo electrónico,
aplicaciones de mensajería, etc. Sin embargo, como todo ocurre en el back-end,
el usuario no puede identificar este proceso.
2. Investigue con más detalle sobre MD5.

Que es MD5
MD5 viene del inglés "Message Digest Algorithm 5". Fue creado en 1991 por Ronald
Rivest en el MIT (Instituto Tecnológico de Massachusetts), para reemplazar al viejo MD4.
Es un algoritmo de codificación de 128 bits que se compone de 32 caracteres
hexadecimales y sirve para encritpar archivos y contraseñas en bases de datos. La
codificación MD5 es capaz de generar huellas en archivos para asegurarse de que no
hayan cambios en estos mientras transitan por la red.
MD5 (técnicamente llamado MD5 Message-Digest Algorithm) es una función de hash
criptográfico cuyo objetivo principal es verificar que un archivo no ha sido alterado. En
lugar de confirmar que dos conjuntos de datos son idénticos comparando los datos
brutos, MD5 lo hace produciendo una suma de comprobación en ambos conjuntos, y
luego comparando las sumas de comprobación para verificar que son las mismas.
MD5 tiene ciertos defectos, por lo que no es útil para aplicaciones de cifrado avanzado,
pero es perfectamente aceptable utilizarlo para verificaciones de archivos estándar.

Ejemplos de codificaciones MD5

- MD5("El mejor web hosting") = 4c774d7e2be3d413cadedc1b799f4493
- MD5("Infranetworking") = bdf56b730ef4751cfe2f1fb70c802f1e

¿Para qué es útil usar MD5?

Quizás alguna vez al descargar un archivo se haya encontrado con que también se
encuentre con un archivo que tenga información / data MD5. Vamos a ver qué tipo de
información contiene ese fichero MD5 y por qué está allí.
Para asegurarle al usuario que el archivo descargado es el original y legítimo que te
muestra la descarga, lo ideal es usar un algoritmo de encriptación llamado MD5. El md5
te permite generar para ese archivo un número hexadecimal de 32 dígitos. Este número
siempre se distribuye junto con el archivo que queremos descargar, de modo que quien
lo descarga se pueda ejecutar el algoritmo de nuestro lado para comprobar si el número
resultante de 32 dígitos coincide con el de la descarga.
Si el resultado es positivo, entonces es el archivo se descargó correctamente, si no lo es,
tendrás que descargarlo otra vez y validar otra vez posteriormente. Este tipo de
verificación MD5 se usa muchísimo para descargas de firmware (que si el md5 es
incorrecto puede dejarlos el dispositivo inutilizable incluso), imágenes ISO, etc.
Otra interesante forma de usar md5 es para asegurarnos de que un archivo no ha sido
modificado por nadie, esto es especialmente útil cuando envías archivos a otras personas
y quieres asegurarte que nadie en el medio (el tránsito de la información entre que
enviaste el archivo y llegó a su destinatario) modificó el archivo. Incluso con el hash md5
que generas desde esta misma página web puedes ofrecerlo a un destinatario si es
necesario, y él podrá comprobar si el texto no se modificó / alteró antes de llegar a sus
manos.

3. Consulte qué herramientas Forenses son mayormente utilizadas para realizar

hash.

• Autopsy, es una de las más utilizadas y recomendadas, nos permitirá localizar

muchos de los programas y plugins de código abierto, es como una biblioteca de
Unix y utilidades basadas en Windows, el cual facilita enormemente el análisis
forense de sistemas informáticos. Autopsy es una interfaz gráfica de usuario que
muestra los resultados de la búsqueda forense. Esta herramienta es muy
utilizada por la policía, los militares y las empresas cuando quieren investigar qué
es lo que ha pasado en un equipo.

• The Sleuth Kit, es una colección de herramientas de comandos en línea para

investigar y analizar el volumen y los sistemas de archivos utilizados en
investigaciones forenses digitales. Con su diseño modular, se puede utilizar para
obtener los datos correctos y encontrar evidencias. Además, es compatible y
funciona en Linux y se ejecuta en plataformas Windows y Unix.

• Magnet Encrypted Disk Detector, esta herramienta funciona a través de la

línea de comandos, verifica de manera rápida y no intrusiva los volúmenes
cifrados en un ordenador, para saber si existen para posteriormente intentar
acceder a ellos con otras herramientas. Esta herramienta nos permite detectar
discos físicos cifrados con TrueCrypt, PGP, VeraCrypt, SafeBoot, o Bitlocker de
Microsoft.

• Magnet RAM Capture es una herramienta que está diseñada para obtener la
memoria física del ordenador donde la utilicemos. Al usarla, podremos recuperar
y analizar datos muy valiosos que se almacenan en la memoria RAM y no en un
disco duro o SSD. Es posible que, en determinados casos, tengamos que buscar
la evidencia directamente en la memoria RAM, y debemos recordar que la RAM
es volátil y que se borra cada vez que apagamos el equipo.
• Magnet Process Capture, es una herramienta gratuita que nos permitirá
capturar la memoria de procesos individuales de un sistema, es decir, si
necesitamos saber los datos que está utilizando un determinado proceso de
nuestro sistema operativo, podremos hacerlo con esto.

• Magnet Web Page Saver es una alternativa a la anterior, y se encuentra

actualizada por lo que dispondremos de todas las mejoras. Esta herramienta es
perfecta para capturar cómo está la web en un determinado momento, es
especialmente útil cuando queremos mostrar una web, pero no tenemos
conexión a Internet. Además, esta herramienta permite realizar capturas de cada
página, podremos indicar las URL manualmente o importándolas vía fichero de
texto o CSV, además, podremos navegar fácilmente por la web descargada.

• FAW o Forensics Acquisition of Websites, es una herramienta que nos

permite descargar páginas web completas para su posterior análisis forense, los
requisitos de esta herramienta son muy básicos, por lo que podrás ejecutarla sin
problemas. Con esta herramienta podremos adquirir evidencias de páginas web
de manera fácil y rápida.

• SIFT, que significa SANS Investigative Forensic Toolkit, es un conjunto completo

de herramientas forenses y una de las plataformas de respuesta a incidentes de
código abierto más populares. En cuanto a sistemas operativos, tenemos
disponible una versión para utilizar en máquina virtual que hace uso de Ubuntu
LTS 16.04 en su versión de 64 bits, esta versión ha sufrido importantes cambios,
como, por ejemplo, mejor utilización de memoria, actualización automática del
paquete DFIR para respuesta ante incidentes informáticos, incorpora las últimas
herramientas forenses y técnicas, así como disponibilidad cruzada entre Linux y
Windows.

• Volatility, es otra aplicación forense de memoria de código abierto para

respuesta a incidentes y análisis de malware, esta herramienta se encuentra
incorporada en SIFT. Permite a los investigadores analizar el estado de tiempo
en ejecución de un dispositivo, mediante la lectura de la memoria RAM. Volatility
no tiene muchas actualizaciones, pero este framework es realmente potente y
aún se encuentra con actualizaciones.
4. “LA INFORMÁTICA FORENSE APARECE COMO UNA DISCIPLINA AUXILIAR DE
LA JUSTICIA MODERNA, PARA ENFRENTAR LOS DESAFÍOS Y TÉCNICAS DE LOS
INTRUSOS INFORMÁTICOS, LO MISMO QUE COMO GARANTE DE LA VERDAD EN
PROCESOS LEGALES (JUDICIALES).

Para esto es necesario contar con un elemento primordial denominado: Evidencia

Digital

5. Enumere los procedimientos propios relacionados con la evidencia en la escena

del crimen.

Dentro de los procedimientos más comunes para el aislamiento de la escena, se

encuentran los siguientes:

• De ser preferible, tomar una fotografía del equipo o sitio del incidente antes de tocarlo.

• Establecer un perímetro de seguridad, para que nadie pueda acercarse.

• Si el equipo se encuentra encendido, no se debe apagar, deberá procederse a realizar

los siguientes procedimientos:

- Sellar los puertos USB, firewire, Unidades CD/DVDetc…para impedir alguna

alteración posterior al registro de la escena.
- Tomar fotografías de lo que se puede ver en la pantalla (software corriendo,
documentos abiertos, ventanas de notificación, hora y fecha ilustrados)
- Asegurar el equipo (Si es portátil, tratar de mantenerlo encendido con el cargador
hasta hacer entrega o iniciar el análisis respectivo).
- Si es posible capturar información volátil del equipo antes de que se apague, debe
hacerse empleando las herramientas forenses necesarias.

• Si el equipo se encuentra apagado, no realizar el encendido, esto puede alterar la

escena o borrar información que podría lograr obtenerse posteriormente.

• Llevar los elementos necesarios para la recolección de información como estaciones

forenses, dispositivos de backups, medios formateados y/o estériles, cámaras digitales,
cinta y bolsas para evidencia, papel de burbuja, bolsas antiestáticas, cajas de cartón,
rótulos o etiquetas etc….

6. ¿Cuál es el objetivo principal de la Informática Forense?

El objetivo de cualquier examen forense dado, es encontrar hechos y, a través de estos

hechos, recrear la verdad de un evento obteniendo evidencias relativas a un crimen
digital.
 CONCLUSIONES

• Las funciones hash protegen la confidencialidad de una clave protegiendo una

contraseña de forma que no quede almacenada en un texto claro dentro de una
base de datos y mantienen la integridad de los datos asegurando que no se haya
realizado ninguna modificación en los datos mientras se transmiten.

• Mediante la práctica de funciones hash pudimos comprobar que cada archivo tiene
un único identificador hash y con solo agregar un carácter adicional al nombre del
archivo ese valor hash cambia por completo. Por esta razón las funciones hash
son usadas en la informática forense para validación e integridad de archivos.

• El MD5 es el principal algoritmo de hashing usado por sistemas bancarios, y en

general, a nivel mundial, MD5 y SHA-1 son las funciones más empleadas hoy día
en la firma digital de documentos para todo tipo de transacciones y workflow offline
y online.

• La evidencia digital es un registro de la información guardada o difundida a través

de un sistema informático que puede utilizarse como prueba en un proceso judicial.
Es cualquier dato digital que pueda relacionar un delito con su víctima o con su
autor.

• La informática forense es la ciencia de adquirir, preservar, obtener y presentar

datos que han sido procesados electrónicamente y guardados en soportes
informáticos. Se trata de una práctica cada vez más habitual debido al uso que
actualmente todos realizamos de las nuevas tecnologías, y que permite resolver
casos policiales o judiciales.
 BIBLIOGRAFIA

• http://informaticaforense021.blogspot.com/2018/05/objetivos-de-la-informatica-
forense.html

• https://gobiernodigital.mintic.gov.co/692/articles150505_G13_Evidencia_Digital.p
df

• https://www.europapress.es/portaltic/sector/noticia-informatica-forense-usa-
resolver-casos-policiales-judiciales-20181124112932.html

• https://www.adslzone.net/2017/03/23/md5-que-es-descargas/

• https://keepcoding.io/blog/que-es-un-hash/

• http://www.reydes.com/d/?q=Los_Hashes_en_el_Ambito_del_Forense_Digital#:~
:text=Las%20funciones%20Hash%20m%C3%A1s%20com%C3%BAnmente,Has
hing%20Algorithm)%201%20o%202.&text=A%20continuaci%C3%B3n%20se%2
0genera%20el,el%20car%C3%A1cter%20de%20interrogante%20final.