Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
I. Introducción
El análisis forense se basa en una serie de factores para revisar y obtener pruebas de un incidente. Por
lo tanto, se debe saber qué es un ciberincidente, qué tipo de persona u organización tendría interés en
perpetrar ataques y, además, cómo se desarrollan estos. Otras cuestiones de vital importancia son los
tipos de ataques que existen o el impacto que puedan tener en una organización.
II. Objetivos
En esta unidad, el alumno conocerá el concepto de análisis forense y sus fases, así como los
tipos de ciberincidente o ciberatacante, para terminar con unas nociones sobre gestión de
incidentes y una descripción del impacto que un ciberataque podría tener en una organización.
Aunque no hay una definición clara de cuándo se adoptó el concepto de análisis forense, sí se
establecen unos hitos en la historia que determinan un posible inicio de esta materia. Así, en el año 1978
en el estado de Florida en EE.UU., se reconocen los crímenes de sistemas informáticos en el "Computer
Crimes Act" en casos de sabotaje, copyright, modificación de datos y ataques similares.
A día de hoy, es una de las materias más empleadas e interesantes en el mundo de la ciberseguridad,
dado que permite obtener respuestas y evidencias que demuestren lo ocurrido en una incidencia concreta.
Por otro lado, es una de las materias más empleadas por las fuerzas de seguridad, cuerpos militares,
CERT e investigadores privados.
2/12
Introducción
Un incidente en seguridad informática es toda aquella acción que, utilizando medios informáticos,
provoca un cambio en la confidencialidad, la integridad, la disponibilidad y la autenticidad de la
información.
Ejemplo: Confidencialidad
Pongamos un ejemplo en el que un usuario hace una compra desde internet, el envío del número
de mi tarjeta de crédito se realiza cifrando estos datos. Si por alguna causa, alguien consigue esa
información antes de que llegue a su destino, podemos decir que se ha “roto” la
confidencialidad.
Como hemos podido ver, todas ellas son posibles en un mundo conectado como el nuestro.
Los atacantes tienen diversos nombres (piratas, crackers, hackers, bucaneros, lamers, newbie, etc.)
pero sus definiciones más exactas son aquellas que describen esta figura como personas que intentan
romper o vulneran alguna aplicación o sistema de información obteniendo acceso no autorizado.
Estas personas pueden estar motivadas por muchas razones, incluidas las de carácter de protesta
social o antisistema o bien por fines de lucro por medio de la obtención y venta de la información a
terceros. Esto viene con diversos intereses posteriores como la duplicación de tarjetas de crédito, el
acceso a contraseñas o bien, la realización de estafas, extorsión y fugas o transferencias de dinero.
3/12
Introducción
Crackers
Como venimos diciendo, estos atacantes suelen estar muy preparados, con elevados conocimientos
de programación, redes y sistemas, con muchos contactos de personas como ellos y que se coordinan
en un equipo de trabajo para la realización de un ataque (normalmente por malware) a un objetivo.
Este tipo de coordinación es planificada y a su vez, se trata de una tarea que lleva tiempo, dado que se
tienen que preparar las diferentes fases de un ataque. Por ejemplo: hacer indetectable el ataque,
eliminar evidencias de acceso, programar el método de intrusión, etc.
Podemos decir que este tipo de atacantes son profesionales en su materia haciendo casi imposible
su detección y detención por parte de las fuerzas de seguridad
Mafias
Este nuevo modelo no les implica un alto coste, dado que obtienen beneficios por muchos otros
medios delictivos; podríamos decir que este es otro canal más para la obtención de dinero
Ciberterroristas
Comprender los peligros del ciberterrorismo es importante porque toda la comunidad de Internet es
propensa a ser blanco de este tipo de ataques.
Hacktivistas
Inicialmente se refirió al uso de los sistemas y redes de información para debatir o apoyar aspectos
políticos, promocionar la libertad de expresión o reivindicar derechos humanos, todo esto desde el
anonimato que proporciona el ciberespacio. Hoy en día el hacktivismo, no solo representa el
sentimiento de disidencia o desobediencia en el ciberespacio, además representa una peligrosa
amenaza y un arma de primer orden para el ciberataque.
4/12
Introducción
Empresas
Curiosamente, uno de los factores que más se ven en un ataque es la fuga de datos y la obtención de
información por parte de empresas que compiten en un sector del mercado.
Las grandes empresas que compiten con márgenes muy estrechos de beneficio económico intentan
por todos los medios desacreditar a su competencia utilizando campañas negativas de imagen o bien,
utilizan a estos crackers para desestabilizar a la empresa
Gobiernos
Los gobiernos también son una fuente de ataques que se debe tener en cuenta, dado que al tener
empresas en otros países, intentan obtener información para la defensa de estas y así posicionarse por
delante las empresas de otros países. La desestabilización política también juega un papel importante
en los ciberataques, ya que se usa para intentar desacreditar gobiernos o políticos, utilizando
mecanismos de espionaje de móviles o plataformas de descifrado de comunicaciones. El malware
también es uno de los ataques más empleados en los consulados y gobiernos.
Una vez que hemos visto los actores que conforman un ataque pasemos a ver cómo lo realizan
Se trata de la fase que más labor y una duración mayor en el tiempo tiene.
Antes de empezar un ataque, normalmente este es planificado por el líder del grupo o el equipo de
crackers en el que definen elementos como el objetivo u objetivos que se van a atacar, tiempo de ataque,
fecha de inicio, fecha de finalización, método utilizado, tipo de eliminación de pruebas. Todo ello se
hace distribuyendo el trabajo entre los distintos integrantes del equipo.
Dependiendo del tipo de ataque, el equipo de crackers tendrá preparado todo un arsenal de
herramientas, equipos invisibles (no accesibles), redes botnets, ataques de suplantaciones de identidad y
malware a medida.
Una vez que tienen claro el objetivo, su primera fase es la obtención de información que se encuentra
de forma pública en internet, es decir, licitaciones públicas, revistas especializadas, noticias de
tecnología IT, etc. Todo ello les permite conocer información de los sistemas operativos, versiones,
bases de datos, antivirus, mecanismos perimetrales, etc.
5/12
Introducción
También realizan investigaciones a los empleados de la empresa objetivo. Para ello, se dan de alta
con cuentas falsas en redes sociales, cuentas de correo electrónico, móviles de prepago y analizan la
información pública que puede tener una persona; como por ejemplo, dónde cursó sus estudios, sus
afinidades, gustos o eventos a los que asistió.
El periodo de tiempo que pasan obteniendo la información puede ser de hasta seis meses.
Una vez que obtienen toda la información pública de esa persona y empresa, pasan a la realización de
la segunda fase.
Esta fase es la más técnica, dado que los atacantes tienen que hacer uso de diversas vías para engañar
a la víctima, utilizando suplantación de identidad de otras personas de su sector o bien, con perfiles
falsos con los que hacer creer a la víctima que es otra persona conocida.
Para ello, emplean técnicas de ingeniería social, enviando documentación verdadera sobre la
compañía objetivo o bien de proveedores, para ganarse la confianza de la víctima. No solo lo hacen con
un empleado, lo hacen con todos aquellos que han aceptado la suplantación iniciada por los crackers.
Paralelamente, intentan atacar a sitios inofensivos relacionados con las víctimas o bien, crean sitios
con contenidos relacionados con la empresa objetivo y que contienen malware o programas de control
remoto.
Las víctimas, una vez que visitan o reciben correos electrónicos de estos sitios y abren su contenido,
pasan a infectarse y a pertenecer a la red de control de crackers.
Es la fase más compleja, dado que la red de control tiene que actuar sobre los ordenadores de las
victimas sin ser detectados por los dispositivos de seguridad. Para ello, el cracker utiliza su panel de
control para comunicarse con los programas maliciosos de la víctima.
Una vez que el atacante dispone del control de los equipos, mejorará su arsenal de herramientas para
poder expandirse por la organización y poder capturar usuarios y contraseñas, así como información
relevante para ser utilizada por los crackers.
Este método podría tener una duración de hasta dos años dentro de la organización.
Una vez que conocemos los atacantes y su método de ataque, podemos pasar al análisis de un
incidente.
6/12
Introducción
Antes de empezar el análisis de un incidente, deberemos informarnos sobre qué tipo de incidente ha
ocurrido, dado que no todos son iguales. También comprobaremos el alcance y si los sistemas de
información han sufrido un impacto grave o no. Para ello, disponemos de la siguiente clasificación,
basada en la guía del Centro Nacional de Protección de Infraestructuras Críticas (disponible en: https://
www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/int_cnpic_identi
ficacion_reporte_incidentes.pdf) , que nos puede ayudar ante el reconocimiento de un incidente:
El uso inadecuado de los activos empresariales, como equipos no autorizados, pendrives, SIM 3G o
aplicaciones como servidores web, FTP, etc.
4.5. Impacto
También es importante saber el impacto que tiene el incidente en la organización, ya que este punto
determinará la urgencia que puede tener el análisis forense.
Se define como impacto el valor asignado a un incidente en cuanto a su gravedad, y puede ser de nivel
bajo, medio o alto.
7/12
Introducción
Alto
Incidentes que afectan a los sistemas de información crítica con objeto claro de producir pérdida de
ingresos o que impacte en el servicio del cliente.
Medio
Bajo
Una vez que sabemos identificar los atacantes, los tipos de ataques que se pueden producir y el
impacto que estos pueden causar en la organización, vamos a estudiar cómo se gestiona un incidente.
Todo incidente tiene un ciclo de vida. Desde su detección hasta su cierre, va pasando por diferentes
fases diferenciadas como las siguientes:
8/12
Introducción
Preparación
Dispondremos de las herramientas necesarias para abordar el incidente; además, conoceremos las
metodologías para aplicar en el alcance.
Detección y análisis
Este apartado consiste en analizar el sistema en el que ocurre el incidente, intentando obtener el
máximo de evidencias encontradas.
Contención
Se intentará que el incidente no se propague por los demás sistemas informáticos de la organización.
Para ello, se aplicarán las soluciones encontradas en la fase anterior de la detección.
Se realizará un informe de la situación final y cierre del incidente en el que se indiquen las acciones
realizadas y recomendaciones de mejora, retroalimentado el conocimiento en la fase de preparación
para evitar que vuelva a ocurrir.
V. Resumen
En esta unidad, hemos aprendido los conceptos de análisis forense y ciberataque, así como las
fases de las que se compone y las diferentes tipologías que podemos encontrar. Además, hemos
estudiado qué es un ciberatacante y qué tipo de impacto podría causar en una organización y los
pasos que se deben seguir a la hora de gestionar un incidente de seguridad.
9/12
Introducción
Recursos
Enlaces de Interés
https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/int_cnpic_identifi
cacion_reporte_incidentes.pdf
https://www.incibe.es/extfrontinteco/img/File/intecocert/ManualesGuias/int_cnpic_identificacion_reporte_inc
identes.pdf
Centro Nacional de protección de infraestructuras críticas
Bibliografía
Curso de Ciberseguridad y Hacking Ético.: Gutiérrez del Moral, Leonardo. (2013). Curso de
Ciberseguridad y Hacking Ético.
Digital Forensics and Incident Response.: Johansen, G. (2017). Digital Forensics and
Incident Response. Packt: Birmingham.
The art of Memomy Forensics: Detecting Malware and Threats in Windows, Linux, and
Mac Memory.: Case, A., Levy, J. y Ligh, M.H. (2014). The art of Memomy Forensics:
Detecting Malware and Threats in Windows, Linux, and Mac Memory. Indianapolis: John
Wiley & Sons, Inc.
Glosario.
Atacante: (piratas, crackers, hackers, bucaneros, lamers, newbie, etc.): personas que
intentan romper o vulneran alguna aplicación o sistema de información obteniendo acceso no
autorizado. Pueden estar motivadas por muchas razones, incluidas las de carácter de protesta
social o antisistema o bien por fines de lucro por medio de la obtención y venta de la
información a terceros.
Ataque de denegación de servicio: Ataque a un sistema de ordenadores o red que causa que
un servicio o recurso sea inaccesible a los usuarios legítimos.
10/12
Introducción
Impacto: Valor asignado a un incidente en cuanto a su gravedad. Puede ser de nivel bajo,
medio o alto.
Incidente de seguridad: Toda aquella acción que, utilizando medios informáticos, provoca
un cambio en la confidencialidad, la integridad, la disponibilidad y la autenticidad de la
información.
Red botnet: Grandes redes de ordenadores infectados con una variedad de malware.
11/12