Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2/16
Sistema apagado
Sistema apagado
I. Introducción
Una regla básica del análisis forense es que el analista forense nunca emplea el disco original para realizar
el análisis, que siempre debe realizarse sobre una copia exacta del disco. Este proceso obligatorio se llama
clonado y, una vez realizado, la copia original quedará bajo custodia del juzgado.
II. Objetivos
3.1. Clonado
Una vez que hemos adquirido los elementos volátiles, procederemos al proceso de clonado de los
dispositivos de almacenamiento de datos que normalmente se basan en discos duros, discos duros
externos, pendrives USB, CD o DVD.
La principal característica que debe de tener un clonado es que tiene que ser exacto. Es decir, que la
copia ha de ser idéntica al original. Si el original tiene un defecto en algún sector del disco, este también
debería estar en copia una vez que ha sido clonada.
Este tipo de clonado se denomina “bit a bit” y no valen los sistemas tradicionales de copias de
seguridad, dado que solo copian los datos y no la parte no ocupada.
3/16
Sistema apagado
No son válidos
Hay una máxima que hay que tener en cuenta y es que el analista forense nunca empleará el
disco original para el análisis, si no que usará siempre las copias clonadas que previamente han
sido refrendadas (las copias de los discos originales) por un notario o secretario judicial (en caso
de que se esté en un proceso judicial).
Una vez clonado, el disco original quedará bajo la custodia del juzgado.
En caso de que se trate de un procedimiento de parte, será necesario realizar las copias de los
discos ante notario para que este dé fe de que las copias son idénticas a los originales.
Normalmente se realizarán dos copias, una para el cliente y otra para el analista, y el original
quedará bajo custodia del notario.
Clonado a disco
Clonado a imagen
Consiste en clonar todo el disco y crear un fichero con todo el contenido. Es equivalente a copiar
toda la unidad a un archivo .zip grande. De hecho, puede realizar copias de seguridad de más de una
imagen, lo que permite guardar la totalidad de la unidad varias veces y diferentes puntos en el tiempo y
guardarlos localmente (en una partición de copia de seguridad) o en una unidad independiente. La
desventaja, sin embargo, es que la imagen no es inmediatamente funcional.
IV. Formatos
4.1. RAW
4/16
Sistema apagado
A continuación, se muestra una lista de distribuciones orientadas al forense y que incorporan entorno
gráfico para la clonación.
Imagen 5.1. Distribuciones orientadas al forense que incorporan entorno gráfico para la clonación.
Fuente: creación propia Cyber Academy.
5/16
Sistema apagado
Veamos un ejemplo de clonación utilizando el programa AIR del entorno gráfico de CAINE.
Podemos visualizar en color rojo el disco duro o dispositivo de origen; en amarillo, el destino
(un fichero de imagen); y en azul vemos que una vez que finalice, realizará el cálculo o hash de
integridad del disco origen y copia en MD5 y SHA-1.
Desventajas:
Procedimiento lento.
No adecuado para discos grandes.
6/16
Sistema apagado
Su uso es muy recomendado para discos de gran capacidad y reduciendo el tiempo considerablemente
hasta los 30 GB por minuto.
Imagen 5.3. Clonadora utilizada para la clonación por hardware. Fuente: Blog Flu Project.
Las clonadoras, al igual que por el método de software, permiten calcular el hash con objeto de
comprobar que la copia es idéntica al original. Asimismo, también permite convertir el disco origen en un
fichero de imagen.
Ventajas
Muy rápido.
Requiere hardware especifico.
Sencillo de manejar.
Adecuado para grandes discos o muchos discos.
Bloqueador de escritura.
Desventajas
Puede ser tener un precio elevado.
7/16
Sistema apagado
Los valores hash se utilizan durante las diferentes fases relativas a la prueba electrónica. En primer lugar,
en el proceso de análisis informático forense, un valor hash se utiliza para asegurar que la copia examinada
no ha sido alterada.
Si los valores son los mismos, la copia se trata igual que el original. Si los valores son diferentes,
entonces la integridad de la copia se pone en duda.
Este valor de hash hay que indicarlo al notario o al juez para que quede constancia de que son idénticos.
Es un procedimiento muy utilizado en prueba electrónica, sobre todo, en casos de propiedad intelectual,
correos electrónicos y casos de fuga de información.
Actualmente, los algoritmos MD5 y SHA1 están pendientes de dejar de ser utilizados, dado que
son vulnerables a la técnica de colisión de hashes , en la que dos documentos distintos tienen la
misma huella, lo que invalidaría la integridad.
Para solucionar este problema, se han de emplear combinaciones de algoritmos o bien SHA2. Todos los
sistemas operativos disponen de programas que calculan estos hashes .
Por defecto, los programas de clonado calculan el hash una vez realizada la copia.
También es muy utilizado para la descarga de ficheros así como para verificar que el valor del hash
descargado coincide con el que el autor ha puesto en la web de descargas.
Aquí tenemos un ejemplo de programa en Linux para el cálculo de hash utilizando sha256sum.
8/16
Sistema apagado
Si se ha clonado de un disco duro a otro, este puede conectarse directamente a un puerto USB del
equipo del analista.
El disco duro será detectado automáticamente en Windows como un dispositivo externo y por lo
tanto, podremos acceder a su contenido. En el caso de Linux, procederemos a realizar el montaje del
disco con el comando MOUNT.
Montaje en Linux:
Imagen 5.6. Montaje para acceder a los discos clonados en Linux. Fuente: creación propia Cyber
Academy.
9/16
Sistema apagado
Si se ha clonado de disco duro a fichero de imagen, también se podrá acceder de forma virtual o en
formato RAW.
La mejor forma es utilizar un clásico como FTK IMAGER LITE de Access Data que funciona en
línea de comandos y con entorno gráfico.
10/16
Sistema apagado
Y desde Windows, podremos acceder a la unidad G: que contiene los ficheros y directorios del
disco duro clonado.
11/16
Sistema apagado
Esta forma de acceso tiene un inconveniente y es que, al acceder al contenido de alguna carpeta de
la que no tenemos permisos y cuya propiedad es de un usuario, aparecerá un error de acceso.
Podríamos tomar posesión del directorio, pero entonces modificaríamos permisos y fechas, lo
que complica la investigación. Para poder acceder sin problemas de permisos vamos a utilizar el
sistema recomendado. Para ello, vamos a desmontar las unidades virtuales seleccionado las unidades
y pulsando el botón Unmount.
Una vez desmontado, vamos a la opción FILE – Add Evidence Item y seleccionamos Image File.
Imagen 5.11. Selección de Image File en la opción FILE en la herramienta FTK Imager.
Fuente: creación propia Cyber Academy.
12/16
Sistema apagado
13/16
Sistema apagado
Desde la herramienta podemos acceder a logs y ficheros que puedan contener datos relevantes.
Imagen 5.13. Acceso a los logs en la herramienta FTK Imager. Fuente: creación propia Cyber
Academy.
14/16
Sistema apagado
FTK permite también la extracción de ficheros para su análisis. Por ejemplo, vamos a extraer el
archivo de paginación PAGEFILE.SYS.
Imagen 5.14. Ejemplo de extracción de ficheros para su análisis en la herramienta FTK Imager.
Fuente: creación propia Cyber Academy.
IX. Resumen
15/16
Sistema apagado
Recursos
Bibliografía
Conservación de la cadena de custodia de una evidencia informática.: Rubio Amarillo, J.
(2016): “Conservación de la cadena de custodia de una evidencia informática”. Editorial Wolters
Kluwer. Diario La Ley, nª8859. Disponible en: https://peritoinformaticocolegiado.es/wp-
content/uploads/Conservacion-de-la-cadena-de-custodia-de-una-evid....pdf
Procesos y herramientas para la seguridad de redes.: Castro Gil, M.A., Díaz Orqueta, G.,
Alzórriz Armendáriz, I. y Sancristóbal Ruiz, E. (2014). Procesos y herramientas para la seguridad
de redes. Madrid: UNED
Un enfoque básico sobre Informática Forense.: Gallardo-Rosales, R., Fuentes-Covarrubias,
A.G., y Fuentes-Covarrubia, R. “Un enfoque básico sobre Informática Forense”. Disponible en:
https://s3.amazonaws.com/academia.edu.documents/36845124/Un_enfoque_basico_sobre_Informatica_Foren
AWSAccessKeyId=AKIAIWOWYYGZ2Y53UL3A&Expires=1543248263&Signature=T53NSFvYg3wiwXh
content-
disposition=inline%3B%20filename%3DUn_enfoque_basico_sobre_Informatica_Fore.pdf
Glosario.
Clonado: Una vez que hemos adquirido los elementos volátiles, procederemos al proceso de
clonado de los dispositivos de almacenamiento de datos que normalmente se basan en discos
duros, discos duros externos, pendrives USB, CD o DVD. Un clonado tiene que ser exacto.
Formato RAW: Formato de archivo digital de imágenes que contiene la totalidad de los datos
de la imagen tal y como ha sido captada por el sensor digital de la cámara, ya sea fotográfica u
otro tipo.
Valor hash: Identificador numérico único que puede asignarse a un disco, carpetas, archivo,
un grupo de archivos o una porción de un archivo, de acuerdo a un algoritmo matemático
estándar aplicado a las características del conjunto de datos.
16/16