REPÚBLICA BOLIVARIANA DE VENEZUELA

UNIVERSIDAD BICENTENARIO DE ARAGUA

VICERRECTORADO ACADÉMICO
FACULTAD DE INGENIERÍA
ESCUELA DE INGENIERIA DE SISTEMAS
CREATEC- CÚA ESTADO MIRANDA

Informática forense

CÚA, JULIO 2022

 Introducción

Actualmente el constante reporte de vulnerabilidades en sistemas de

información, y el aprovechamiento de fallas sobre estos en infraestructuras,
empresas u organizaciones ofrecen un escenario para que se realicen
tendencias relacionadas con intrusos informáticos, fraudes, corrupción.
Motivado a esto, la informática forense hace aparición como una disciplina
auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de los
intrusos informáticos, y su aplicación garantiza la verdad de acuerdo a la
evidencia digital que se haya podido recopilar del proceso.
Así pues, es un método científico de investigación y análisis que tiene como
fin recopilar pruebas de los dispositivos digitales o redes y componentes
informáticos que sea adecuado para su presentación, Implica realizar una
investigación estructurada, por consiguiente, en el presente trabajo practico se
hará mención del tema, técnicas y herramientas que se utilizan en su
procedimiento.
 Aplicación de herramientas de la informática forense en la recuperación
de Data y Archivos en algún dispositivo electrónico

La auditoría forense está compuesta por dos términos que definen su

objetivo: “auditoria”, que representa la revisión exhaustiva de documentos,
procesos, contabilidad de una empresa u organización garantizando la
veracidad y regulación de estos, elaborando estrategias de control y gestión, y
“forense”, El término forense significa literalmente utilizar algún tipo de proceso
científico establecido para la recopilación, análisis y presentación de la
evidencia que se ha recopilado. Sin embargo, todas las formas de evidencia
son importantes, especialmente cuando se ha producido un ataque cibernético.
Por otro lado, la auditoria forense es una disciplina que sirve para asesorar a
quienes imparten justicia, en la investigación y obtención de evidencias, acerca
de la existencia de un delito informático o relacionado con los procesos
organizacionales, revisando irregularidades y patrones de conducta que
puedan considerarse anormales.
De esta manera, el auditor forense deberá de contestar a las siguientes
preguntas para realizar su investigación ¿Qué ocurrió?, ¿Cómo ocurrió?, y
¿Quién es responsable por lo que ocurrió?, para esto se requiere la utilización
de técnicas para obtener información más precisa y especifica, así como para
realizar un análisis de mayor alcance que el que ofrece las técnicas de
auditoria tradicionales.
Así pues, la auditoria forense puede ser correctiva, enfocándose en los
fraudes que ya han sido cometidos, y también preventiva evaluando las
medidas tomadas por la dirección y otros entes responsables, para prevenir y
predecir situaciones indeseables relacionadas con el fraude. Las principales
funciones que se abarcan en la auditoria forense son:
 1. Participación en la evaluación de sistemas y estructuras de control
interno.
2. Recopilar evidencias aplicando técnicas de investigación.
3. Brindar soporte técnico (evidencia sustentable) a los órganos del
ministerio público y de la función judicial, para la investigación de delitos.
4. Identificar y demostrar el fraude o el ilícito perpetrado.
5. Prevenir y reducir el fraude mediante la implementación de
recomendaciones para el fortalecimiento de acciones de control interno.
6. Participar en el desarrollo de programas de prevención de pérdidas y
fraudes.
Por otro parte, el auditor forense deberá tener, entre otras cualidades, las
siguientes:
1. Tener habilidades de investigador.
2. Capacidad de análisis e interpretación de la información.
3. Ser analítico e interpretar la información y analizarla de una manera
objetiva.
4. Tener la habilidad de suministrar las evidencias y pruebas necesarias
antes los organismos competentes.
Dicho esto, el auditor forense llevara a cabo sus funciones con la utilización
de herramientas y la aplicación de métodos que deben de cumplir también
unos determinados requisitos. Una herramienta forense, tanto si esta
homologada como si no, debe demostrar en su funcionamiento unos niveles de
eficacia e integridad lo suficientemente altos para ganarse el respeto tanto de la
comunidad profesional de investigadores como del personal del personal que
trabaja en la administración de justicia.
Diciéndolo de otra forma, son un conjunto de técnicas y programas
empaquetados que como resultado final dan una herramienta digital, la cual
permite ayudar a los auditores forenses a realizar sus tareas de una forma más
practica y profesional. Estas herramientas abarcan dos tipos, las herramientas
comerciales o de pago, y las herramientas open source.
Las herramientas comerciales o de pago son de acceso restringido las
cuales están desarrolladas por compañías especializadas, y para poder hacer
uso de sus herramientas se debe pagar una licencia de derechos de uso,
algunas herramientas forenses solo están a la venta para gobiernos y no al
público en general. Entre estas encontramos:

1. Access Data
2. Encase
3. Cellebrite
4. DigitalIntelligence
Luego encontramos las herramientas Open Source, son de acceso público
bajo la licencia de Open Source, lo cual permite su libre distribución y uso sin
necesidad de pagar alguna licencia para poder hacer uso de estas
herramientas entre las que se encuentran:
1. Autopsy
2. TestDisk
3. PhotoRec
De acuerdo con lo mencionado anteriormente, se abordarán las
herramientas PhotoRec, TestDisk y Autopsy en la práctica para la informática
forense.
La primera herramienta de la que hará mención es PhotoRec, es una
aplicación multiplataforma la cual nos permite recuperar archivos perdidos
incluyendo videos, documentos y archivos de los discos duros, así como
imágenes perdidas de las memorias de las cámaras fotográficas y memorias
USB, hace una búsqueda profunda de los datos, incluso si su sistema de
archivos está muy dañado o ha sido formateado. Cabe destacar, que con
PhotoRec se recuperar información de algún medio de extracción, como
pueden ser un USB, Micro USB, discos duros, discos duro de estado sólido,
etc. Pero si se llega a perder información de algún dispositivo que se haya
dañado de forma física, PhotoRec no podrá recuperar la información. El
dispositivo debe de estar en buenas condiciones.
Encontramos también Test Disk es un poderoso Software gratuito de
recuperación de datos, principalmente diseñado para ayudar a recuperar
particiones perdidas o volver discos no booteables a booteables nuevamente.
Esta herramienta nos permite arreglar tablas de particiones, recuperar
particiones eliminadas, recuperar sectores de arranque FAT32 de su copia de
seguridad, reconstruir sectores de arranque FAT12/FAT16/FAT32, reconstruir
sectores de arranque NTFS, recuperar sectores de arranque NTFS de su copia
de seguridad, localizar el superblock de copia de seguridad de ext2/ext3/ext4,
recuperar archivos de sistema de archivos, copiar archivos de particiones.
Por último, tenemos Autopsy que es una interfaz gráfica para el análisis
forense informático, mediante herramientas de líneas de comandos. El cual
permite a los investigadores lanzar auditorías forenses no intrusivas en los
sistemas a investigar. Estos análisis se centran en análisis genérico de
sistemas de archivos y líneas temporales de ficheros. Se puede analizar los
discos de Windows y UNIX y sistemas de archivos (NTFS, FAT, UFS1 / 2,
Ext2 / 3).
Dicho esto, se hará utilización de Autopsy en esta investigación para evaluar
lo mencionado anteriormente. Así pues, cuando se abre Autopsy la primera
tarea que se debe llevar a cabo es, o bien crear un nuevo caso, o abrir uno
existente, donde un caso es la unidad lógica que contendrá todo lo relacionado
a la investigación. Por lo tanto, al crear un caso se ingresa información como su
nombre y número y la persona que examinará los dato, por ejemplo para este
caso el nombre es KENNY SUMATIVA4.
 El siguiente paso consiste en asociar al caso uno o más orígenes de datos,
entre los cuales se encuentran los discos físicos conectados a la computadora
de análisis, o una imagen forense que se ha adquirido previamente de la
computadora a ser investigada.
 Como último paso para la creación del caso, debe configurarse
los módulos a utilizar para el análisis, lo cual se observa en la siguiente
imagen:
 Estos módulos son los que permitirán el descubrimiento de información
relevante y se describen a continuación:
1. Recent Activity: extrae la actividad reciente que se ha realizado en la
computadora bajo investigación. Esto incluye los documentos
recientemente abiertos, dispositivos conectados, historial web, cookies,
descargas y marcadores, por ejemplo.
2. Hash Lookup: permite agregar bases de datos con valores de hash para
archivos conocidos, como los archivos del sistema operativo o de
aplicaciones instaladas. Así, puede ahorrarse mucho tiempo al evitar
realizar búsquedas en estos archivos conocidos.
3. Archive Extractor: permite recuperar archivos eliminados, basándose en
los metadatos residuales que quedan en el disco, así como también
recuperar archivos en espacios no asignados en el disco, mediante la
detección de los encabezados de archivos.
4. Exif Image Parser: permite analizar la información disponible en el
encabezado Exif de los archivos de imagen JPEG que se encuentran en
el disco. Esto provee información acerca de la cámara con que se tomó
la imagen, fecha y hora o la geolocalización, entre otras cosas.
5. Keyword Search: puede definirse una lista de palabras clave o
expresiones regulares a buscar en todo el disco. Como se observa en la
imagen anterior, Autopsy ya viene con una lista de expresiones
regulares incluidas para búsqueda de números telefónicos, direcciones
IP, direcciones de correo electrónico y URL.

Después de la selección de los módulos comienza en forma automática el

análisis. El progreso de cada etapa se muestra en la parte inferior derecha y los
resultados se van actualizando en la vista de árbol.
Importancia del Monitoreo
El monitoreo es necesario para que las empresas se aseguren de que el
sistema requerido esté funcionando. Independientemente del tamaño de la
empresa, no se puede ignorar la necesidad de monitorear el servidor, la red y
la infraestructura utilizando herramientas de monitoreo. Además, el monitoreo
es fundamental en el desempeño de cualquier empresa u organización.
Las siguientes son las áreas clave cuando se trata de monitoreo.
1. Supervisión de los servidores en tiempo real
2. Supervisión del rendimiento de la red.
3. Monitoreo de Discos.
4. Supervisión de la infraestructura en la nube.
5. Supervisión de las aplicaciones.
Se pueden considerar numerosas herramientas de monitoreo de red de
código abierto y absolutamente gratuitas al buscar soluciones de monitoreo.
Entre estas podemos encontramos algunas como:
Zabbix
Zabbix es un software de monitoreo de código abierto con una interfaz fácil
de usar para usuarios con una curva de aprendizaje baja que brinda soluciones
de clase empresarial a grandes organizaciones. Es un sistema centralizado que
almacena los datos en una base de datos relacional para un procesamiento
eficiente. Zabbix permite:
1. Monitoreo de Redes
2. Monitores
3. Monitoreo de la Nube
4. Monitoreo de aplicaciones
5. Monitoreo de Servicios
Nagios
Nagios es una herramienta de monitoreo de código abierto que ha estado en
el mercado desde 1999. Proporciona numerosas facilidades como la
integración con aplicaciones de terceros usando un complemento adicional.
Teniendo en cuenta el tiempo que Nagios ha estado en la industria, hay
muchos complementos escritos para él. Puede monitorear una variedad de
componentes.

Riemann
Riemann es una herramienta de monitoreo de código abierto ideal para
sistemas distribuidos. Es un sistema de procesamiento uniforme de baja
latencia capaz de recopilar métricas de una variedad de sistemas distribuidos.
Está diseñado para manejar millones de pares por segundo con baja latencia.
Es una herramienta de monitoreo apta para sistemas escalables altamente
distribuidos.
Pandora FMS
Pandora FMS es una herramienta de monitoreo de código abierto que ayuda
a las empresas a observar toda su subestructura de TI. No solo presenta
capacidades de monitoreo de red, sino también servidores e interfaces virtuales
Unix y Windows. Para las redes, Pandora FMS se compone de características
de primer nivel como soporte SNMP, sondeo ICMP, monitoreo de latencia de
red y sobrecarga del sistema. Los agentes también se pueden instalar en los
dispositivos para observar aspectos como la temperatura y el
sobrecalentamiento del dispositivo, así como los sucesos del archivo de
registro.
VEEAM ONE
Veeam ONE, que forma parte de Veeam Availability Suite, se integra
perfectamente en todo su entorno de TI, lo que proporciona una visibilidad clara
de las cargas de trabajo virtuales, físicas y en la nube protegidas por Veeam.
Proporciona monitorización, generación de informes y herramientas inteligentes
para ayudar a su empresa con la automatización y el control que necesita para
mantener la Disponibilidad al protegerla contra posibles problemas antes de
que tengan un impacto operativo, que incluye:
 Poderosa monitorización y generación de informes de la infraestructura
 Diagnósticos inteligentes y resoluciones automatizadas
 Utilización de la infraestructura y planeación de la capacidad

Propuesta de solución

Se puede resaltar que la aplicación de la auditoria forense parte del

incumplimiento de los procedimientos establecidos originados por el
desconocimiento de los mismos u omisión de manera intencionada por parte
del personal en cualquier empresa u organización, así como los controles y
sistemas de la misma, de acá parte, la importancia de utilizar las herramientas
forenses y de aplicar la monitorización de procesos, aplicaciones, servidores,
controles, etc.
Por ello es de suma importancia que se realicen evaluaciones periódicas
imprevistas por una persona ajeno a la empresa, ya sea un auditor externo o
una persona capacitada para realizar las acciones pertinentes y utilizar las
técnicas de auditoría forense para revolverse la corrupción administrativa o
fraudes que se puedan estar llevando a cabo en las operaciones de una
empresa u organización.

Conclusión

Como resultado de lo investigado se entiende que la auditoría forense tiene

un enfoque preventivo y tiene como objetivo prevenir y mitigar los indicadores o
factores que puedan generar fraude, mediante la evaluación de los controles
interno y externos de la empresa, permitiendo elaborar e implementar
programas o procedimientos antifraude.
Por otro lado, el monitoreo va de la mano con la aplicación de las
herramientas forenses debido a que brindan una vista de los servicios,
aplicaciones y dispositivos que se ejecutan y tienen capacidad de rastrear el
desempeño de estos recursos antes que pueda ocurrir algún problema. Esto
facilita la gestión activa en lugar de responder a los problemas a medida que
ocurren.