ACTIVIDAD EVALUATIVA EJE 3

DESCRIBA LA ESCENA DEL CRIMEN

PRESENTADO POR:
SIGIFREDO THOMAS CAMPO

DOCENTE:
CAMILO AUGUSTO CARDONA PATIÑO

FUNDACIÓN UNIVERSITARIA ÁREA ANDINA

INFORMATICA FORENSE I

INGENIERÍA DE SISTEMAS

AGOSTO 2022
 Introducción
En el siguiente caso veremos la importancia de la informática forense, aplicada a un
caso directamente que afecta un servidor de una organización, se ejecutara un plan
para la revisión de la situación y cuales son los pasos a seguir para resolver el
problema, la informática forense está directamente relacionada con procesos de
recolección de evidencia o información que permitan ejecutar un plan donde se
apliquen herramientas para adquirir preservar examinar y analizar las pruebas
obtenidas de medios informáticos afectados durante un ataque o problema, luego
se realiza un informe donde se explica a detalle todos los procesos y herramientas
utilizadas en la investigación
Descripción de la tarea:
Situación propuesta

La empresa Pepito Pérez, el 18 de noviembre 2018, fue objeto de un ataque de

Denegación de ser- vicios, ocasionando, que su servidor principal quedará fuera de
línea, al llegar el gerente y sus empleados encontraron todo aparentemente normal,
solo vieron algo curioso, el computador del gerente está encendido, y el gerente
recordaba que lo había apagado, además habían unos papeles con letra que no
era de él en su escritorio, cuando fueron a revisar el servidor, este estaba
completamente inaccesible, preocupados por lo ocurrido deciden llamar a un
investigador forense.

Análisis:

En vista de lo sucedido se hace se debe usar el método de análisis directo o en

caliente, ya que al llegara la escena del crimen se encuentra el servidor encendido
como la principal victima del ataque, y que al parecer el ataque ha sido finalizado,
como siguiente medida recogemos pruebas del sistema afectado, evidencias, o
algún rastro de que sirva a la investigación, luego procedemos a hacer unas
muestras fotográficas del sitio, y verificar que el estado funcional del equipo, como
siguiente medida, debemos revisar cámaras de seguridad para verificar que
personal estuvo a la hora de la escena del crimen o sus alrededores y realizar
preguntas, también hacer un procedimiento para verificar el tipo de letra de las
personas que tienen acceso a la oficina donde esta servidos, hacer pruebas de
caligrafías para comprar y estudiar quien habrá dejado los papeles con una letra
diferente a la del gerente, posterior a esto se realizara un análisis post-morten de
la escena
utilizaremos herramientas de respuesta ante incidentes y análisis forense
compiladas de forma que no se realicen modificaciones en el sistema. También
cabe mencionar algunos datos para tener en cuenta para la recolección de las
evidencias en el equipo afectado:

como víctima principal se trabaja directamente con él, identificar el tipo de ataque
que sufrió, e identificar ¿cómo se pudo vulnerar la seguridad del equipo?, ¿cómo
ingresaron al sistema?, ¿como o de que forma obtuvieron las claves de acceso al
servidor?, identificar a través de registros del sistema que sitios o que movimientos
realizo la persona durante su uso en el servidor, observar si hay programas
instalados, hacer un análisis forense del disco duro, ver si hay información nueva
etc.

Aplicar el uso de herramientas específicas que sean lo menos dañina posible para
el sistema utilizar la Línea de comando para comprobar errores en el sistema dado
que este es mas seguro y consume menos recursos del sistema

Reportar de forma detallada toda la operación y actividad del sistema

Como herramienta validad para recolectar información del equipo se puede

realizar un dump o volcado de la memoria. (Random Access Memory (RAM)), que
consiste

en obtener una copia de los procesos y los datos que residen actualmente-de
forma temporal en la memoria RAM del sistema

Como síntesis del análisis directo observamos datos relevantes dentro de nuestra
investigación forense, las cuales son:

✓ Archivos abiertos, direcciones IP, puertos abiertos y usados, conexiones de red.

✓ Unidades de red compartidas, permisos

✓ Usuarios activos
✓ Shell remotas

✓ Conexiones remotas tipo VNC, RDP, entre otros

✓ Archivos que tienen aplicado algún tipo de procesos de cifrado. En ciertas

ocasiones, si el sistema esta apagado, se dificulta el proceso de descifrado.

Una de las evidencias importantes es el papel en la oficina del gerente hacer un

analisi profundo y determinar a través de su contenido si tiene datos que indiquen
quien realizo el ataque,
 CONCLUSION
Se muestra el procedimiento que se debe llevar a cabo para realizar un estudio
forense de un ataque a un equipo o una red de información, dado que es muy
importante conocer cuál es el procedimiento y como debemos realizar un análisis
para este tipo de situación, cuando equipo sufre un ataque y queda encendido
podemos realizar un análisis directo, pero si el equipo esta apagado, se debe hacer
un análisis post-morten, investigas todo tipo de evidencia que nos pueda ayudar a
aclarar la situación
 BIBLIOGRAFIA

http://repositorio.ufpso.edu.co:8080/dspaceufpso/bitstream/123456789/93

https://slideplayer.es/slide/13217724/

Referente de pensamiento Eje 1

¿Qué es un ataque DDoS? - OVH. (2020). Retrieved 15 August 2020

Pasos del computo forense - Informatica forense. (2020). Retrieved 15 August 2020,