Introducción

© Ediciones Roble, S.L.

 Introducción

Introducción

I. Introducción
El análisis forense se basa en una serie de factores para revisar y obtener pruebas de un incidente. Por
lo tanto, se debe saber qué es un ciberincidente, qué tipo de persona u organización tendría interés en
perpetrar ataques y, además, cómo se desarrollan estos. Otras cuestiones de vital importancia son los
tipos de ataques que existen o el impacto que puedan tener en una organización.

II. Objetivos

En esta unidad, el alumno conocerá el concepto de análisis forense y sus fases, así como los
tipos de ciberincidente o ciberatacante, para terminar con unas nociones sobre gestión de
incidentes y una descripción del impacto que un ciberataque podría tener en una organización.

III. Introducción al análisis forense

El análisis forense informático es una disciplina que permite revisar y obtener evidencias de un
incidente. Este incidente se ha podido ocasionar en un ordenador, un móvil, un elemento de
comunicaciones, un sistema operativo y prácticamente en cualquier dispositivo que contenga datos.

Aunque no hay una definición clara de cuándo se adoptó el concepto de análisis forense, sí se
establecen unos hitos en la historia que determinan un posible inicio de esta materia. Así, en el año 1978
en el estado de Florida en EE.UU., se reconocen los crímenes de sistemas informáticos en el "Computer
Crimes Act" en casos de sabotaje, copyright, modificación de datos y ataques similares.

A partir de esa fecha, el nacimiento de herramientas de recuperación de datos o aplicaciones para

evitar la copia pirata, la publicación de libros técnicos y la adopción en 1984 por parte del FBI del
programa “Magnetic Media”, que más tarde, en 1991, será el Computer Analysis and Response Team
(CART), empiezan a definir el concepto de Análisis Forense Informático.

A día de hoy, es una de las materias más empleadas e interesantes en el mundo de la ciberseguridad,
dado que permite obtener respuestas y evidencias que demuestren lo ocurrido en una incidencia concreta.
Por otro lado, es una de las materias más empleadas por las fuerzas de seguridad, cuerpos militares,
CERT e investigadores privados.

3.1. ¿Qué es un ciberincidente?

2/12
 Introducción

Antes de empezar a entrar en la materia, es importante entender cómo es el estado actual de la

ciberseguridad, sus actores y problemas. De este modo podremos tener una visión completa del atacante,
la incidencia y su análisis e investigación.

Un incidente en seguridad informática es toda aquella acción que, utilizando medios informáticos,
provoca un cambio en la confidencialidad, la integridad, la disponibilidad y la autenticidad de la
información.

Ejemplo: Confidencialidad
Pongamos un ejemplo en el que un usuario hace una compra desde internet, el envío del número
de mi tarjeta de crédito se realiza cifrando estos datos. Si por alguna causa, alguien consigue esa
información antes de que llegue a su destino, podemos decir que se ha “roto” la
confidencialidad.

Ejemplo: Fallo de integridad y de autenticidad

Otro ejemplo es que alguien cambie algún dato de mi información registrada en la página web
donde realizo la compra. En este caso, estaríamos hablando de un fallo de integridad. Si, por el
contrario, el problema residiese en que no consiga acceder a mis datos o poder realizar la
compra, se trataría de un fallo de disponibilidad. Otra posibilidad sería el caso de que alguien
haya podido cambiar mi contraseña sin mi autorización, lo cual sería un grave fallo de
autenticidad.

Como hemos podido ver, todas ellas son posibles en un mundo conectado como el nuestro.

3.2. ¿Quiénes amenazan la seguridad?

Los atacantes tienen diversos nombres (piratas, crackers, hackers, bucaneros, lamers, newbie, etc.)
pero sus definiciones más exactas son aquellas que describen esta figura como personas que intentan
romper o vulneran alguna aplicación o sistema de información obteniendo acceso no autorizado.

Estas personas pueden estar motivadas por muchas razones, incluidas las de carácter de protesta
social o antisistema o bien por fines de lucro por medio de la obtención y venta de la información a
terceros. Esto viene con diversos intereses posteriores como la duplicación de tarjetas de crédito, el
acceso a contraseñas o bien, la realización de estafas, extorsión y fugas o transferencias de dinero.

3/12
 Introducción

Crackers

Como venimos diciendo, estos atacantes suelen estar muy preparados, con elevados conocimientos
de programación, redes y sistemas, con muchos contactos de personas como ellos y que se coordinan
en un equipo de trabajo para la realización de un ataque (normalmente por malware) a un objetivo.
Este tipo de coordinación es planificada y a su vez, se trata de una tarea que lleva tiempo, dado que se
tienen que preparar las diferentes fases de un ataque. Por ejemplo: hacer indetectable el ataque,
eliminar evidencias de acceso, programar el método de intrusión, etc.

Podemos decir que este tipo de atacantes son profesionales en su materia haciendo casi imposible
su detección y detención por parte de las fuerzas de seguridad

Mafias

Tradicionalmente, el negocio se ha centrado y se centra en el mundo de la distribución de la droga,

pero desde hace unos años, las mafias se han interesado por las nuevas formas de extorsión a través
de internet y las grandes posibilidades que ofrecen de obtener réditos económicos contratando a los
crackers o bien, incluyéndolos dentro de su organización para el desarrollo de ataques como el
phishing, la ciberextorsión, etc.

Este nuevo modelo no les implica un alto coste, dado que obtienen beneficios por muchos otros
medios delictivos; podríamos decir que este es otro canal más para la obtención de dinero

Ciberterroristas

El ciberterrorismo es el uso de medios de tecnologías de información, comunicación, informática,

electrónica o similar con el propósito de generar terror o miedo generalizado en una población, clase
dirigente o gobierno, causando con ello una violación a la libre voluntad de las personas

Comprender los peligros del ciberterrorismo es importante porque toda la comunidad de Internet es
propensa a ser blanco de este tipo de ataques.

Hacktivistas

Inicialmente se refirió al uso de los sistemas y redes de información para debatir o apoyar aspectos
políticos, promocionar la libertad de expresión o reivindicar derechos humanos, todo esto desde el
anonimato que proporciona el ciberespacio. Hoy en día el hacktivismo, no solo representa el
sentimiento de disidencia o desobediencia en el ciberespacio, además representa una peligrosa
amenaza y un arma de primer orden para el ciberataque.

4/12
 Introducción

Empresas

Curiosamente, uno de los factores que más se ven en un ataque es la fuga de datos y la obtención de
información por parte de empresas que compiten en un sector del mercado.

Las grandes empresas que compiten con márgenes muy estrechos de beneficio económico intentan
por todos los medios desacreditar a su competencia utilizando campañas negativas de imagen o bien,
utilizan a estos crackers para desestabilizar a la empresa

Gobiernos

Los gobiernos también son una fuente de ataques que se debe tener en cuenta, dado que al tener
empresas en otros países, intentan obtener información para la defensa de estas y así posicionarse por
delante las empresas de otros países. La desestabilización política también juega un papel importante
en los ciberataques, ya que se usa para intentar desacreditar gobiernos o políticos, utilizando
mecanismos de espionaje de móviles o plataformas de descifrado de comunicaciones. El malware
también es uno de los ataques más empleados en los consulados y gobiernos.

Una vez que hemos visto los actores que conforman un ataque pasemos a ver cómo lo realizan

IV. ¿Cómo se desarrolla un ciberataque?

Los ciberataques se basan en tres fases bien definidas:

4.1. Obtención de información

Se trata de la fase que más labor y una duración mayor en el tiempo tiene.

Antes de empezar un ataque, normalmente este es planificado por el líder del grupo o el equipo de
crackers en el que definen elementos como el objetivo u objetivos que se van a atacar, tiempo de ataque,
fecha de inicio, fecha de finalización, método utilizado, tipo de eliminación de pruebas. Todo ello se
hace distribuyendo el trabajo entre los distintos integrantes del equipo.

Dependiendo del tipo de ataque, el equipo de crackers tendrá preparado todo un arsenal de
herramientas, equipos invisibles (no accesibles), redes botnets, ataques de suplantaciones de identidad y
malware a medida.

Una vez que tienen claro el objetivo, su primera fase es la obtención de información que se encuentra
de forma pública en internet, es decir, licitaciones públicas, revistas especializadas, noticias de
tecnología IT, etc. Todo ello les permite conocer información de los sistemas operativos, versiones,
bases de datos, antivirus, mecanismos perimetrales, etc.

5/12
 Introducción

También realizan investigaciones a los empleados de la empresa objetivo. Para ello, se dan de alta
con cuentas falsas en redes sociales, cuentas de correo electrónico, móviles de prepago y analizan la
información pública que puede tener una persona; como por ejemplo, dónde cursó sus estudios, sus
afinidades, gustos o eventos a los que asistió.

El periodo de tiempo que pasan obteniendo la información puede ser de hasta seis meses.

Una vez que obtienen toda la información pública de esa persona y empresa, pasan a la realización de
la segunda fase.

4.2. Fase de implantación

Esta fase es la más técnica, dado que los atacantes tienen que hacer uso de diversas vías para engañar
a la víctima, utilizando suplantación de identidad de otras personas de su sector o bien, con perfiles
falsos con los que hacer creer a la víctima que es otra persona conocida.

Para ello, emplean técnicas de ingeniería social, enviando documentación verdadera sobre la
compañía objetivo o bien de proveedores, para ganarse la confianza de la víctima. No solo lo hacen con
un empleado, lo hacen con todos aquellos que han aceptado la suplantación iniciada por los crackers.

Paralelamente, intentan atacar a sitios inofensivos relacionados con las víctimas o bien, crean sitios
con contenidos relacionados con la empresa objetivo y que contienen malware o programas de control
remoto.

Las víctimas, una vez que visitan o reciben correos electrónicos de estos sitios y abren su contenido,
pasan a infectarse y a pertenecer a la red de control de crackers.

4.3. Fase de control

Es la fase más compleja, dado que la red de control tiene que actuar sobre los ordenadores de las
victimas sin ser detectados por los dispositivos de seguridad. Para ello, el cracker utiliza su panel de
control para comunicarse con los programas maliciosos de la víctima.

Una vez que el atacante dispone del control de los equipos, mejorará su arsenal de herramientas para
poder expandirse por la organización y poder capturar usuarios y contraseñas, así como información
relevante para ser utilizada por los crackers.

Este método podría tener una duración de hasta dos años dentro de la organización.

Una vez que conocemos los atacantes y su método de ataque, podemos pasar al análisis de un
incidente.

4.4. Tipos de incidentes

6/12
 Introducción

Antes de empezar el análisis de un incidente, deberemos informarnos sobre qué tipo de incidente ha
ocurrido, dado que no todos son iguales. También comprobaremos el alcance y si los sistemas de
información han sufrido un impacto grave o no. Para ello, disponemos de la siguiente clasificación,
basada en la guía del Centro Nacional de Protección de Infraestructuras Críticas (disponible en: https://
www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/int_cnpic_identi
ficacion_reporte_incidentes.pdf) , que nos puede ayudar ante el reconocimiento de un incidente:

Denegación de Incidentes relacionados con ataques DoS o DDoS.

servicio
Información Destrucción o intento de destrucción de datos, manipulación de contenidos o la divulgación de
comprometida: información confidencial de la empresa o de su propiedad intelectual, como el código fuente.
fuga de
información
Activos Host comprometido (usuario root, administrador, troyanos, rootkits), control de los dispositivos de
comprometidos red, control de una aplicación principal o crítica, control de cuentas de usuario o directorio activo,
compromiso de certificados raíz, control de cuentas correo y control de la cuenta de usuario del
equipo directivo o administradores. Esto incluye programas maliciosos y hosts infectados donde un
atacante está controlando activamente al anfitrión.
Actividad legal Robo, fraude, pornografía infantil o terrorismo. Elementos lógicos que afecten a la seguridad de las
personas como acoso y extorsión. Ingeniería social.
Hacking o Reconocimiento o actividades sospechosas procedentes de dentro de la red corporativa de la
ataque interno empresa, con exclusión de malware . Fraude interno realizado por los empleados o empresas
colaboradoras con la entidad.
Hacking o Reconocimiento de actividades sospechosas procedentes de fuera de la red corporativa de la
ataque externo empresa.
Malware Un virus o un gusano que típicamente afecta a múltiples dispositivos corporativos y que pueda parar o
ralentizar el servicio. Todo aquel software que permita el control remoto de dispositivos y que
permita realizar cualquier actividad ilegal o fuga de información.
Correo Emails falsos, suplantación de correo de personas clave dentro de la organización, espionaje del
electrónico correo electrónico.
Violación de
política Material sensible u ofensivo que es compartido o que se posee con copyright.

El uso inadecuado de los activos empresariales, como equipos no autorizados, pendrives, SIM 3G o
aplicaciones como servidores web, FTP, etc.

Escalada no autorizada de privilegios o intento deliberado de subvertir los controles de acceso.

4.5. Impacto

También es importante saber el impacto que tiene el incidente en la organización, ya que este punto
determinará la urgencia que puede tener el análisis forense.

Se define como impacto el valor asignado a un incidente en cuanto a su gravedad, y puede ser de nivel
bajo, medio o alto.

7/12
 Introducción

Alto

Incidentes que afectan a los sistemas de información crítica con objeto claro de producir pérdida de
ingresos o que impacte en el servicio del cliente.

Medio

Incidentes que afectan a la continuidad de los sistemas y a la disponibilidad de la

información, pero que no sean críticos o bien no hayan llegado a impactar en el servicio.
Las investigaciones sobre fraude interno que son sensibles en el tiempo han de clasificarse
en este nivel.

Bajo

Aquellos sistemas no críticos o investigaciones de incidentes que no requieren una

contención inmediata.
Investigaciones a largo plazo que implican una amplia investigación y un trabajo de
investigación forense detallado.

Una vez que sabemos identificar los atacantes, los tipos de ataques que se pueden producir y el
impacto que estos pueden causar en la organización, vamos a estudiar cómo se gestiona un incidente.

4.6. Gestión de un incidente

Todo incidente tiene un ciclo de vida. Desde su detección hasta su cierre, va pasando por diferentes
fases diferenciadas como las siguientes:

Imagen 2.1. Gestión de un incidente.

Fuente: creación propia Cyber Academy.

8/12
 Introducción

Preparación

Dispondremos de las herramientas necesarias para abordar el incidente; además, conoceremos las
metodologías para aplicar en el alcance.

Detección y análisis
Este apartado consiste en analizar el sistema en el que ocurre el incidente, intentando obtener el
máximo de evidencias encontradas.

Contención

Se intentará que el incidente no se propague por los demás sistemas informáticos de la organización.
Para ello, se aplicarán las soluciones encontradas en la fase anterior de la detección.

Informes y lecciones aprendidas

Se realizará un informe de la situación final y cierre del incidente en el que se indiquen las acciones
realizadas y recomendaciones de mejora, retroalimentado el conocimiento en la fase de preparación
para evitar que vuelva a ocurrir.

V. Resumen

En esta unidad, hemos aprendido los conceptos de análisis forense y ciberataque, así como las
fases de las que se compone y las diferentes tipologías que podemos encontrar. Además, hemos
estudiado qué es un ciberatacante y qué tipo de impacto podría causar en una organización y los
pasos que se deben seguir a la hora de gestionar un incidente de seguridad.

9/12
 Introducción

Recursos

Enlaces de Interés
https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/int_cnpic_identifi
cacion_reporte_incidentes.pdf
https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/int_cnpic_identificacion_reporte_inc
identes.pdf
Centro Nacional de protección de infraestructuras críticas

Bibliografía
Curso de Ciberseguridad y Hacking Ético.: Gutiérrez del Moral, Leonardo. (2013). Curso de
Ciberseguridad y Hacking Ético.
Digital Forensics and Incident Response.: Johansen, G. (2017). Digital Forensics and
Incident Response. Packt: Birmingham.
The art of Memomy Forensics: Detecting Malware and Threats in Windows, Linux, and
Mac Memory.: Case, A., Levy, J. y Ligh, M.H. (2014). The art of Memomy Forensics:
Detecting Malware and Threats in Windows, Linux, and Mac Memory. Indianapolis: John
Wiley & Sons, Inc.

Glosario.

Análisis forense: Disciplina que permite revisar y obtener evidencias de un incidente.

Atacante: (piratas, crackers, hackers, bucaneros, lamers, newbie, etc.): personas que
intentan romper o vulneran alguna aplicación o sistema de información obteniendo acceso no
autorizado. Pueden estar motivadas por muchas razones, incluidas las de carácter de protesta
social o antisistema o bien por fines de lucro por medio de la obtención y venta de la
información a terceros.

Ataque de denegación de servicio: Ataque a un sistema de ordenadores o red que causa que
un servicio o recurso sea inaccesible a los usuarios legítimos.

Cracker: Persona con elevados conocimientos de programación, redes y sistemas, con

muchos contactos de personas como ellos y que se coordinan en un equipo de trabajo para la
realización de un ataque (normalmente por malware) a un objetivo.

10/12
 Introducción

Impacto: Valor asignado a un incidente en cuanto a su gravedad. Puede ser de nivel bajo,
medio o alto.

Incidente de seguridad: Toda aquella acción que, utilizando medios informáticos, provoca
un cambio en la confidencialidad, la integridad, la disponibilidad y la autenticidad de la
información.

Malware: Un virus o un gusano que típicamente afecta a múltiples dispositivos corporativos

y que pueda parar o ralentizar el servicio.

Red botnet: Grandes redes de ordenadores infectados con una variedad de malware.

11/12