Reconstrucción de la secuencia temporal de una

fuga de datos, como delito de confidencialidad

Oscar William Neciosup Vera
Escuela de Postgrado, Pontificia Universidad Católica del Perú
Lima, Perú
a20204777@pucp.edu.pe

Abstract— La informática forense es una ciencia, que se encarga de asegurar, identificar, preservar y analizar conjunto de datos
llamada prueba digital. Tal necesita un desarrollo de una metodología para el análisis forense. La creación de una línea temporal
corresponde un paso fundamental en el análisis de evidencias, como parte de las fases de un análisis forense.
Palabras Clave—FTK, timeline, Creation Time, OLECF

I. INTRODUCCIÓN
La creación de una línea temporal es indispensable sea cual sea el tipo de análisis a realizar, ya que permite ubicar los
acontecimientos ocurridos mediante el análisis forense. Permite controlar la visualización de la cadena de acciones realizada
por la amenaza a lo largo del tiempo. Constituye el marco que permite a un investigador indagar en base a un criterio de
tiempo determinando que ficheros pueden o no ser importantes para el caso [1]
II. DESCRIPCIÓN DEL PROBLEMA
A. Descripción del Problema
En los contratos del personal de entidades gubernamentales o empresas se producen acuerdos de confidencialidad y no
divulgación esto se da para proteger cualquier información, de ser restringido para el uso público. Las características que se
toman en cuenta para esto suelen ser: definición de información confidencial, excepciones a que debe ser confidencial y
tiempo durante el cual se establece el acuerdo. Sin embargo, se producen delitos relacionados al acceso no autorizado a
información digital (Data Leakage) por parte del personal, durante el tiempo establecido del contrato, que hacen uso de
elementos de almacenamiento para sustraer tal información para fines propios. [2] [1]
B. Escenario
El señor Pedro Eduardo Antonio es un ex servidor de la Dirección de Desarrollo, perteneciente al Programa de Línea de
Tiempo, adscrito al Ministerio de Ingeniería Forense, estuvo a cargo del desarrollo y almacenamiento de información
confidencial desde el 13 de septiembre hasta el 16 de noviembre, se le encargó exclusivamente la recopilación de
información necesaria para desarrollar la base de datos de cierre de brechas de servicio de telecomunicaciones en la Región
Loreto para poder elegir la posible demanda en la generación de nuevos proyectos que tiene a cargo el Programa. Se le dio
un plazo máximo de entrega, indicando que el archivo contenga un nombre relacionado.

Al paso de dos meses, el Director de tal dirección comunica a su personal que se ha filtrado información de servicios telecom
para el cierre de brechas a la Dirección de Ingenio, asimismo, se tiene conocimiento que tal información fue proporcionada
a través de un USB, propiedad de tal Dirección. Se prosigue a realizar el análisis forense a tal evidencia digital y determinar
responsables.

C. Preguntas del Caso

1. ¿Cómo se llama el archivo filtrado?
2. ¿Cuál es la extensión del archivo? Indicar la aplicación y la versión
3. La fecha de ultimo acceso al archivo
4. Indicar la fecha de última modificación del archivo
5. Que muestre la fecha de creación del archivo en el driver.
6. Indicar la ruta completa donde se encuentre el archivo
7. Mostrar el Hash SHA.
8. Indicar la fecha máxima de entrega del archivo.
9. ¿Cuál es la relación que tiene la fecha de modificación con respecto al plazo máximo de entrega?
10. Que tipo de datos corresponde a los registros que están en evaluación
11. Realizar un gráfico visual en barras mostrando la cronología del archivo.
12. ¿El servidor acusado en verdad es culpable?
13. ¿Quién es el principal responsable?
A continuación, se realizará el desarrollo forense con el fin de aclarecer los hechos

III. PROCESO DE FORENSE

Se realiza la identificación de la evidencia: se debe conocer su volatilidad, listar las características de la(s) evidencia(s),
listado de personas implicadas en los equipos. No olvidar también solicitar autorización para efectuar la recolección de
evidencias, por el manejo de datos confidenciales. [3]

Ilustración 1. Dispositivo de evidencia digital

A. Proceso de Captura de Evidencia Digital

Corresponde a la etapa de recolección, se realizará una copia bit a bit de la evidencia que se desea analizar. Esto significa
que se requiere una copia exacta del contenido del dispositivo incautado.

1. Se utilizará el programa FTK Imager, Se obtendrá la captura de evidencia digital de un Driver lógico, a partir de
la unidad de USB (F: ) [3]

Ilustración 2. Elección de la unidad a realizar la copia bit a bit

2. Se agregará el formato al cual se desea hacer la copia bit a bit. En este caso se elige el formato Raw (dd).
Ilustración 3. Formato de imagen a convertirse

3. Se selecciona que no se fragmente el archivo, se designa nombre y se aplica la copia.

Ilustración 4. Proceso de copia iniciado

4. Finalizado, se corrobora que tanto el archivo original como la copia tengan el mismo Hash (Match).

Ilustración 5. Proceso de copia finalizado, se muestra la inalterabilidad de la información

 5. Se procede a trasladar la copia hacia la maquina virtual Ubuntu (Carpeta Home), en el cual se llevará a cabo el
análisis del caso.

Ilustración 6. Copia del archivo creado a la maquina virtual UBUNTU

B. Proceso de Análisis de la Evidencia Digital

Para poder determinar el análisis a realizar, se tiene en cuenta lo que se necesita saber para el presente caso, el cual
principalmente necesita conocer la cronología de los sucesos para poder determinar resultados. De esta manera, La copia
bit a bit generada debe ser convertida a un formato en el que se pueda realizar el análisis. [4]
1. El formato al cual debe ser convertido se llama Plaso (Mediante el comando log2timeline.py).

Ilustración 7. Comando para la creación del archivo Plaso

2. Se muestra el proceso de conversión

Ilustración 8. Se muestra el proceso de conversión

 Ilustración 9. Proceso de conversión finalizado

3. Se determina, según el enunciado, el periodo de análisis, para esto se generará un archivo .csv para su muestra

Ilustración 10. Comando para la creación del archivo CSV, mostrando la cronología de informacion

4. Se muestra el resultado de la conversión [5]

Ilustración 11. Se muestra el resultado del archivo creado

5. Se prosigue a abrir el archivo .csv

Ilustración 12. Se muestra el archivo CSV

Los principales campos a considerar son los siguientes:

Tabla 1. Diccionario de los principales campos

Campo Descripcion
Date Determina el día
Source Tipo de origen de archivo
Type Tipo de archivo
Description Una pequeña descripción del archivo
Filename Ubicación del archivo
Extra (SHA 256) Determina el hash del archivo

6. Con el archivo Final.csv, se pueden realizar búsquedas especificas sobre lo que se quiere analizar, con respecto al
caso, se trata de buscar “desarrollar la base de datos de cierre de brechas de servicio de telecomunicaciones en la
Región Loreto para poder elegir la posible demanda en la generación de nuevos proyectos”. Se utilizará la palabra
clave: “CierreBrechas”. [5]

Ilustración 13. Búsqueda de palabras claves

Ilustración 14. Ubicación de los archivos a analizar

 Al respecto, se muestra un pequeño resumen de lo encontrado:

Tabla 2. Resumen de los principales características de los archivos.

Nr Fecha Nombre de ruta de archivo Sourc Type Hash
o e
1 09/30/2020,10:35: TSK:/Propuestas file Content dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f6
30 Proyectos/Demanda_CierreBrechas_Loreto_30set Modificatio 6bfd1f
.xlsx n Time
2 09/30/2020,16:29: TSK:/Propuestas Meta Creation dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f6
42 Proyectos/Demanda_CierreBrechas_Loreto_30set Time 6bfd1f
.xlsx
3 09/30/2020,16:35: TSK:/Propuestas Meta Content dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f6
28 Proyectos/Demanda_CierreBrechas_Loreto_30set Modificatio 6bfd1f
.xlsx n Time
4 10/27/2020,09:16: TSK:/Propuestas file Creation dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f6
25 Proyectos/Demanda_CierreBrechas_Loreto_30set Time 6bfd1f
.xlsx
5 01/04/2021,00:00: TSK:/Propuestas file Last Access dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f6
00 Proyectos/Demanda_CierreBrechas_Loreto_30set Time 6bfd1f
.xlsx

7. Se procede a crear la línea de tiempo en forma gráfica, para esto, se creará un índice de elasticsearch para su
posterior uso en kibana. Se activa el servicio ElasticSearch y Kibana, se verifica que los servicios se encuentren
operativos, luego se crea un índice con respecto al archivo Final.plaso. [6]
Se activan los servicios

Ilustración 15. Activación de los servicios elasticsearch y kibana

Se verifican que los servicios se hayan levantado

Ilustración 16. Servicio elasticsearch levantado

Ilustración 17. Servicio Kibana levantado

 Se procede a la creación del índice [6]

Ilustración 18. Generación de indice para elasticsearch

La creación del índice ha finalizado

Ilustración 19. Indicación de finalización de creación del indice

8. Se realiza la generación gráfica de cronología. Para esto se ejecuta kibana, se implementa el índice creado en el
paso anterior. [7]

Se inicia con la siguiente ruta Managment > Index Patterns > + Create Index Patterns

Ilustración 20. Proceso de creación de la cronología gráfica

Se dispone a crear la cronología.

Según el enunciado, se analiza según las fechas “desde el 13 de septiembre hasta el 16 de noviembre”. Se ejecuta
en Go.
Ilustración 21. Según enunciado, se determinan los tiempos de análisis

Se tiene el siguiente resultado:

Ilustración 22. Muestra completa de la cronología de la evidencia digital

Para poder realizar una visualización más personalizada, se realizan filtros con el fin de un mejor entendimiento.
 Ilustración 23. La cronología de la evidencia digital aplicando filtros para mejor entendimiento

Asimismo, para efectos del caso, se buscará el archivo en específico. Con ayuda del paso 6, se tiene que el nombre
del archivo es

Ilustración 24. Muestra de la cronología del caso de estudio

De esta manera, se ha determinado el análisis del caso utilizando una línea de tiempo en el que demuestra el
comportamiento del archivo en el paso del tiempo.
C. Herramientas empleadas en ambos procesos
1) FTK IMAGER

Es una herramienta para realizar réplicas y visualización previa de datos, la cual permite una evaluación rápida de
evidencia electrónica para determinar si se garantiza un análisis posterior con una herramienta forense como AccessData
Forensic Toolkit. FTK Imager también puede crear copias perfectas (imágenes forenses) de datos de computadora sin
realizar cambios en la evidencia original. [8]

Para prevenir la manipulación accidental o intencional de la evidencia original, FTK Imager realizar una imagen
duplicado bit a bit del medio. La imagen forense es idéntica en cualquier forma al original, incluyendo espacio de holgura
o residual y espacio sin asignar o espacio libre de la unidad. Esto permite almacenar el medio original en un lugar seguro
de daño mientras se procede con la investigación utilizando la imagen forense.
Ilustración 25. FTK imager interface

2) LOG2TIMELINE
Se encarga de analizar los datos recibidos como parámetro de entrada generando un fichero de salida con formato
«plaso». es una herramienta desarrollada en Python que permite extraer la línea temporal de todos los eventos ocurridos
en un sistema. Admite como como datos de entrada ficheros, discos virtuales, dispositivo de almacenamiento, algún
punto de montaje o un volcado de imagen de disco. [5]
El conjunto de herramientas que proporciona Plaso son:
- log2timeline: extraer el time line de todos los eventos.
- psort: procesamiento de los datos extraídos.
- pinfo: muestra los datos del fichero de almacenamiento plaso.
- image_export: exporta ficheros de una imagen.
La documentación, la información y descarga se encuentra en la dirección https://github.com/log2timeline/plaso

3) ELASTICSEARCH
Conocido por ser uno de los buscadores de texto más completos e importantes de internet. La principal acción en el
análisis forense es que tiene como uno de sus fines el de almacenar, procesar y recuperar datos temporales. Los datos
temporales se caracterizan por cada punto de datos que se asocia con una marca de tiempo precisa. Muy a menudo, un
punto de datos representa algún tipo de medición tomada en un momento específico. Puede ser un precio de acciones,
una observación científica o la carga de un servidor.
Una entrada de base de datos de series temporales, en forma abstracta, consiste en lo siguiente:
- El nombre de la serie
- Una marca de tiempo
- Un valor
- Un conjunto de pares de valores clave, o etiquetas, con más información sobre la serie. [6]

4) KIBANA
La herramienta anterior si bien da solución al desarrollo de datos temporales estructurado en grandes bases de datos es
un poco difícil presentarlo de manera clara y comprensible. De esta manera, Kibana se caracteriza por ser una interfaz
web escalable para la representación visual de datos. Ofrece además un análisis automático en tiempo real, algoritmos
de búsqueda muy flexibles y diferentes tipos de vistas. Al ser una aplicación web escrita en JavaScript, Kibana puede
utilizarse en todas las plataformas. Solo se incurrirá en gastos si se utiliza el servicio de hosting Elastic Cloud, ofrecido
por el desarrollador. Este servicio de pago permite implementar y organizar un clúster seguro Kibana-Elasticsearch en
Amazon o Google sin tener que proporcionar recursos propios. [7]
Ilustración 26. Interfaz con página de inicio de Kibana

D. Respuestas
Según el análisis se da respuesta a las preguntas planteadas:
1. ¿Cómo se llama el archivo filtrado?
La indicación fue que el archivo sea guardado con un nombre relacionado a lo realizado. En el paso 6 del análisis
de evidencia digital, se utilizó la palabra clave CierreBrecha para realizar la búsqueda del archivo.
Nombre: Demanda_CierreBrechas_Loreto_30set.xlsx.

2. ¿Cuál es la extensión del archivo? Indicar la aplicación y la versión.

Según se encontró de su nombre, la extensión es “.xlsx” (relacionada a la información de metadata), asimismo, se
conoce que esto corresponde a un archivo de la aplicación Microsoft Excel, para conocer la versión, en la
información gráfica mostrada en el paso 8 del análisis de evidencia digital, se muestra que su versión es la 16.03.

3. La fecha de ultimo acceso al archivo.

Se vio en el paso 6, corresponde a la fecha de aquel registro con Type:” Last Access Time”. De esta manera, la
fecha de último acceso al archivo fue el 04/01/2021.

4. Indicar la fecha de última modificación del archivo.

Se vio en el paso 6, corresponde a la fecha de aquel registro con Type:” Content Modification Time”. De esta
manera, la fecha de última modificación al archivo fue el 09/30/2020.

5. Que muestre la fecha de creación del archivo en el driver.

Se vio en el paso 6, corresponde a la fecha de aquel registro con Type:” Creation Time”. De esta manera, la fecha
de creación del archivo fue el 10/27/2020.

6. Indicar la ruta completa donde se encuentre el archivo.

Tal como se muestra en el paso 8, la ruta completa del archivo es /Propuestas

Proyectos/Demanda_CierreBrechas_Loreto_30set.xlsx.

7. Mostrar el Hash SHA.

Se dispone a mostrar los hash del archivo en el paso del tiempo

Tabla 3. Indicación de HASH

Nro Fecha Hash - SHA256

1 09/30/2020,10:35:30 dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f66bfd1f
 2 09/30/2020,16:29:42 dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f66bfd1f

3 09/30/2020,16:35:28 dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f66bfd1f

4 10/27/2020,09:16:25 dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f66bfd1f

5 01/04/2021,00:00:00 dd6a74943211243247c0d3e5c9b32757579da10cb55fdb69b83b23f5f66bfd1f

Se puede observar que mantiene inalterable su hash al paso del tiempo.

8. Indicar la fecha máxima de entrega del archivo.

Recordando la indicación del nombre del archivo, también se indica la fecha de entrega:
Demanda_CierreBrechas_Loreto_30set.xlsx

9. ¿Cuál es la relación que tiene la fecha de modificación con respecto al plazo máximo de entrega?
Ambas fechas son las mismas, por lo que se infiere que el archivo original no ha sido modificado en su contenido.

10. ¿Qué tipo de datos corresponde a los registros que están en evaluación?
Según se pudo identificar en el paso 6 del análisis de evidencia digital, los tipos de archivos encontrados son FILE
y META.

11. Realizar un gráfico visual en barras mostrando la cronología del archivo.

El gráfico se muestra a continuación, realizado en kibana

Ilustración 27. Gráfico de barras en Kibana mostrando el estudio del archivo del caso

12. ¿El servidor acusado en verdad es culpable?

Recordando que el servidor tenía contrato en la institución hasta el 16 de noviembre y que la fecha en la cual fue
copiado al USB (Fecha de creación) fue mucho antes de finalizar su contrato y al ser el único que maneja tal
información, es en verdad culpable y se deberá generar una sanción.

13. ¿Quién es el principal sospechoso?

Si bien se entendió que el servidor es culpable, los diversos movimientos de modificación y creación de los archivos
metadata indican que el autor del archivo es otro (Oscar), por lo que inicialmente el principal sospechoso no fue el
servidor culpable, sino Oscar.

IV. CONCLUSIONES
El uso de herramientas de creación de líneas de tiempo forense es eficiente en el sentido de ubicar el contexto del caso, el
comportamiento de la información en evaluación a lo largo del tiempo.
La herramienta KIBANA constituye un punto importante en el desarrollo del análisis ya que al tener una interfaz muy bien
manejable permite tomar decisiones con mayor rapidez tomando un buen análisis.

Las diferentes opciones que tiene el comando Log2timeline ayuda mucho a encontrar el objetivo específico, y a través la
creación de un CSV donde se indique la cronología total de la evidencia, poder disponer de fechas y horas cruciales para
tomar decisiones.
Los archivos con formato tipo RAW son muy complejos al momento de generar una línea de tiempo, por lo que es necesario
su conversión a un archivo con formato PLASO.

Las empresas o instituciones siempre corren el riesgo de fuga de información, por lo que es necesario contar de ser posible
con una solución técnica de protección, por medio de hardware, software, o combinación de ambos, tanto a nivel de redes
como de equipos (servidores y estaciones de trabajo). El crecimiento de amenazas como el spyware hacen que los códigos
maliciosos también sean potenciales puntos de fuga de información.

Diseñar una estrategia de concientización que incluya la responsabilidad en el manejo de la información, que funcione tanto
para capacitar a las personas que podrían filtrar información por error u omisión, como para persuadir a las que
deliberadamente intenten hacerlo, mostrando las potenciales consecuencias.

V. RECOMENDACIONES
Para la elaboración de la captura digital, se recomienda realizar de forma fragmentada si es que la evidencia es de una
capacidad muy elevada, esto para aligerar el proceso de análisis de evidencia digital.

Es importante verificar el Hash de los archivos en el paso del tiempo, esto para poder identificar las modificaciones que ha
sufrido un archivo especifico. Esto como parte del cumplimiento de la propiedad de Integridad de la Información.

La verdadera autoría de la información debe estar reflejada en las propiedades del archivo protegido con contraseña, de esta
manera se trata de procurar que las personas sean responsables de la propia información que manejan.

VI. REFERENCIAS

[1] C. G. Rivas, «Metodología para un Análisis Forense,» 2014.

[2] S. A. d. Pino, Delitos Informaticos: Generalidad, 2000.
[3] L. d. D. Informáticos y D. J. EEUU, «Creación de Imagenes Forenses,» 2020.
[4] A. Coronado, «Youtube - Empezamos con Elastic Search,» [En línea]. Available:
https://www.youtube.com/watch?v=7i9VRJoeoOg&ab_channel=AlbertCoronado.
[5] unknown, Plaso (log2timeline), 2020.
[6] Elastic, «What is Elasticsearch?,» 2020. [En línea]. Available: https://www.elastic.co/es/what-is/elasticsearch.
[7] Elastic, «Elastic: Kibana,» 2020. [En línea]. Available: https://www.elastic.co/es/kibana.
[8] ReYDeS, «Crear la Imagen Forense desde una Unidad utilizando FTK Imager,» [En línea]. Available:
http://www.reydes.com/d/?q=Crear_la_Imagen_Forense_desde_una_Unidad_utilizando_FTK_Imager.
[9] J. L. Sierra, «Guía de seguridad Digital,» [En línea]. Available: https://ijnet.org/es/story/gu%C3%ADa-de-seguridad-
digital-cuatro-consejos-para-proteger-equipos-documentos-y-contrase%C3%B1as.

VII. INDICE DE ILUSTRACIONES

ILUSTRACIÓN 1. DISPOSITIVO DE EVIDENCIA DIGITAL

ILUSTRACIÓN 2. ELECCIÓN DE LA UNIDAD A REALIZAR LA COPIA BIT A BIT
ILUSTRACIÓN 3. FORMATO DE IMAGEN A CONVERTIRSE
ILUSTRACIÓN 4. PROCESO DE COPIA INICIADO
ILUSTRACIÓN 5. PROCESO DE COPIA FINALIZADO, SE MUESTRA LA INALTERABILIDAD DE LA INFORMACIÓN
ILUSTRACIÓN 6. COPIA DEL ARCHIVO CREADO A LA MAQUINA VIRTUAL UBUNTU
ILUSTRACIÓN 7. COMANDO PARA LA CREACIÓN DEL ARCHIVO PLASO
ILUSTRACIÓN 8. SE MUESTRA EL PROCESO DE CONVERSIÓN
ILUSTRACIÓN 9. PROCESO DE CONVERSIÓN FINALIZADO
ILUSTRACIÓN 10. COMANDO PARA LA CREACIÓN DEL ARCHIVO CSV, MOSTRANDO LA CRONOLOGÍA DE INFORMACION
ILUSTRACIÓN 11. SE MUESTRA EL RESULTADO DEL ARCHIVO CREADO
ILUSTRACIÓN 12. SE MUESTRA EL ARCHIVO CSV
ILUSTRACIÓN 13. BÚSQUEDA DE PALABRAS CLAVES
ILUSTRACIÓN 14. UBICACIÓN DE LOS ARCHIVOS A ANALIZAR
ILUSTRACIÓN 15. ACTIVACIÓN DE LOS SERVICIOS ELASTICSEARCH Y KIBANA
ILUSTRACIÓN 16. SERVICIO ELASTICSEARCH LEVANTADO
ILUSTRACIÓN 17. SERVICIO KIBANA LEVANTADO
ILUSTRACIÓN 18. GENERACIÓN DE INDICE PARA ELASTICSEARCH
ILUSTRACIÓN 19. INDICACIÓN DE FINALIZACIÓN DE CREACIÓN DEL INDICE
ILUSTRACIÓN 20. PROCESO DE CREACIÓN DE LA CRONOLOGÍA GRÁFICA
ILUSTRACIÓN 21. SEGÚN ENUNCIADO, SE DETERMINAN LOS TIEMPOS DE ANÁLISIS
ILUSTRACIÓN 22. MUESTRA COMPLETA DE LA CRONOLOGÍA DE LA EVIDENCIA DIGITAL
ILUSTRACIÓN 23. LA CRONOLOGÍA DE LA EVIDENCIA DIGITAL APLICANDO FILTROS PARA MEJOR ENTENDIMIENTO
ILUSTRACIÓN 24. MUESTRA DE LA CRONOLOGÍA DEL CASO DE ESTUDIO
ILUSTRACIÓN 25. FTK IMAGER INTERFACE
ILUSTRACIÓN 26. INTERFAZ CON PÁGINA DE INICIO DE KIBANA
ILUSTRACIÓN 27. GRÁFICO DE BARRAS EN KIBANA MOSTRANDO EL ESTUDIO DEL ARCHIVO DEL CASO

VIII. INDICE DE TABLAS

TABLA 1. DICCIONARIO DE LOS PRINCIPALES CAMPOS

TABLA 2. RESUMEN DE LOS PRINCIPALES CARACTERÍSTICAS DE LOS ARCHIVOS.
TABLA 3. INDICACIÓN DE HASH