Restricted-confidential

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

Tema 6.
La cadena de custodia.

Grado en Gestión de Ciberseguridad

Restricted-confidential

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

¿Cuáles son los objetivos de este tema?

✓ Conocer qué es la informática forense y saber definir la cadena de

custodia.
✓ Distinguir los tipos de evidencias cuando ocurre un incidente y las
diferencias al recopilarlas.

Contenido
Contenido .......................................................................................................... 2
1.La informática forense .................................................................................... 3
2.La cadena de custodia ..................................................................................... 4
3.Evidencias ....................................................................................................... 5
3.1 Tipos de evidencias ...................................................................................... 5
3.2 Adquisición de evidencias ............................................................................ 6
Adquisición de evidencias volátiles ................................................................. 6
Adquisición de evidencias no volátiles ............................................................ 6
Normativa para la adquisición de evidencias: ISO/IEC 27037......................... 8
Bibliografía ......................................................................................................... 9

Grado en Gestión de Ciberseguridad

Restricted-confidential

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

1. La informática forense

La informática forense es una disciplina que consiste en extraer, preservar y analizar

evidencias cuando se produce una brecha de seguridad en sistemas informáticos o
cuando se tiene la sospecha de que esta brecha puede haber ocurrido. Su principal
objetivo es que esta extracción y análisis de evidencias pueda utilizarse para resolver
un litigio en un proceso judicial.
El análisis forense debe responder a tres preguntas fundamentales:

• ¿Qué se ha alterado?

• ¿Cómo se ha alterado?

• ¿Quién ha realizado dicha alteración?

Tras un análisis forense exitoso la conclusión va a ser un nombre de usuario local o
un nombre de usuario que ha accedido al sistema y ha ejecutado ciertas acciones y
la dirección IP o la MAC del dispositivo desde el que se ha hecho. Por ello, este aná-
lisis requiere de actuaciones posteriores para tener a la persona o grupo de personas
físicas responsables de las acciones delictivas llevadas a cabo.

Un análisis forense consta de cuatro etapas principales:

Recolectar Preservar Analizar Presentar

Primera fase del Parte fundamental Fase más técnica en El modelo habitual
proceso, en la que se del proceso: las la que los expertos, de presentación de
extraen todas las evidencias utilizando hardware un análisis forense
evidencias posibles recolectadas no y software es un informe
que se van a utilizar deben ser destruidas específicos, analizan ejecutivo en el que
a lo largo del ni alteradas. todas las evidencias se recoge toda la
análisis. para sacar la mayor información extraída
información posible de forma concisa
de todas ellas. para que permita
llegar a
conclusiones.

Grado en Gestión de Ciberseguridad

Restricted-confidential

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

2. La cadena de custodia

Documento que se completa durante las fases de Recolectar y Preservar en un

proceso de análisis forense. Contiene toda la información relativa a las evidencias
para que estas puedan ser presentadas como medio de prueba en un procedimiento
judicial. El fin de la cadena de custodia es justificar que las evidencias son un
elemento probatorio en un proceso judicial y que la integridad de las mismas se ha
preservado desde el inicio de la investigación hasta su presentación.
Sus objetivos principales se pueden resumir en:
✓ Garantizar la integridad de la evidencia, asegurando que no se han hecho
cambios en la misma
✓ Garantizar su autenticidad, permitiendo contrastar su origen.
✓ Garantizar la posibilidad de localización de la evidencia en cualquier mo-
mento del proceso.
✓ Garantizar la trazabilidad de los accesos a la evidencia, pasa saber quién ha
tenido acceso a la evidencia.
✓ Garantizar su preservación a largo plazo.

Grado en Gestión de Ciberseguridad

Restricted-confidential

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

3. Evidencias

Una evidencia es un registro de la información guardada o difundida a través de un

sistema informático que puede utilizarse como prueba en un proceso judicial. Se
hace alusión a una evidencia digital entendiéndola como cualquier dato digital que
pueda relacionar un delito con su víctima o con su autor. Ejemplo: logs de
herramientas de seguridad, vídeos, audios, documentos, etc.

3.1 Tipos de evidencias

Las evidencias en el proceso del análisis forense se pueden clasificar atendiendo a

diferentes criterios.
1. Dependiendo de la forma en la que se recogen:

▪ Evidencias volátiles: Son aquellas que cambian con facilidad como pueden ser
las memorias caché, tablas de enrutamiento, los procesos que están en
ejecución o la memoria RAM, entre otros. Son las primeras en ser recogidas
dado que pueden modificar su valor original y desaparecen al apagar el
equipo.
▪ Evidencias no volátiles: No cambian con tanta facilidad. Algunos ejemplos
son: un disco duro, un pendrive,
un CD, etc.

2. Dependiendo de la naturaleza de la evidencia:

▪ Evidencia hardware: Dispositivo físico con el que se ha cometido un delito. Un

ejemplo de este tipo de evidencias puede ser la impresora donde se
imprimieron imágenes de pornografía infantil, un decodificador de señal cuya
posesión sea ilegal o ilícita, un sniffer para escuchar la red que se utilice con
fines delictivos.
▪ Evidencia digital: se refiere a los datos, programas e información
comunicados mediante un sistema informático cuando la ley prohíbe esa
comunicación.

Grado en Gestión de Ciberseguridad

Restricted-confidential

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

3.2 Adquisición de evidencias

Adquisición de evidencias volátiles

Las evidencias volátiles, como la memoria RAM, son aquellas evidencias que tienen
que ser adquiridas en caliente: con el equipo a examinar encendido, ya que si no
estas estas evidencias desaparecen al apagar el equipo. El principal problema de
este tipo de evidencias es que se degradan, pudiendo incluso llegar a perderse.
Dentro de las evidencias en caliente, la primera evidencia destacable es la memoria
RAM. En ella, el ordenador guarda los datos que se han usado en un momento de-
terminado: todos los programas que se ejecutan en un equipo pasan primero por la
memoria RAM.

Para adquirir la memoria RAM, se deben utilizar programas preparados para ello
(por ejemplo, en Windows, DumpIt). Al utilizar un programa para adquirir la eviden-
cia de la memoria ésta se verá alterada, pero es una alteración inevitable.
Del análisis de la memoria RAM se puede obtener: Contraseñas de acceso, docu-
mentos abiertos por el usuario aunque no se hubieran guardado, imágenes que se
estuvieran visualizando, programas en ejecución, etc.
Otras evidencias volátiles son: la lista de procesos en ejecución (utilizando el pro-
grama, la lista de usuarios que han iniciado sesión en el equipo, etc.
Otros programas como Process Monitor para la obtención de la lista de procesos y
subprocesos en ejecución o FileMon que muestra la actividad del sistema de archi-
vos en tiempo real son claves en el proceso de adquisición de evidencias de este
tipo. Todos los programas que utilicen deben ser instalados en el momento de la
extracción, dado que si el dispositivo está comprometido la herramienta ya insta-
lada podría estar alterada.

Adquisición de evidencias no volátiles

Las evidencias no volátiles no es obligatorio que se extraigan en caliente, como en

el caso de las volátiles. Éstas, en muchas ocasiones, se pueden adquirir tanto en frío,
con el equipo apagado, como en caliente, con el equipo en funcionamiento.
No obstante, para decidir si se extraen con el dispositivo encendido o apagado se
deben tener en cuenta otros factores: Si el activo que estamos analizando es muy
crítico y necesita mantenerse encendido, extraeremos en caliente las evidencias,

Grado en Gestión de Ciberseguridad

Restricted-confidential

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

aunque no sean volátiles. Lo mismo ocurre con los dispositivos cifrados: aunque las
evidencias sean no volátiles, hay que extraerlas en caliente para poder acceder a la
información.
En cambio, si un equipo puede ser atacado al estar encendido y con conexión al
exterior, programas de extracción y análisis de evidencias, como AccessData FTK
Imager, pueden ser víctimas de alteraciones y por eso es recomendable recoger es-
tas evidencias en frío y además proteger contra la escritura el dispositivo.

Garantizar la integridad: funciones hash

Las funciones hash son algoritmos criptográficos que, en el proceso de análisis fo-
rense, se utilizan para garantizar que lo analizado es una copia exacta de la evidencia
original, y que la integridad de la copia se mantiene a lo largo de todo el proceso de
análisis.
Para cada entrada «E», la función generará siempre una salida «S» única. Lo que
implica que cualquiera alteración en la entrada, por mínima que sea, alterará la sa-
lida. A partir de la salida «S» de la función, es imposible obtener la entrada original
«E».
Hay herramientas de forense como EnCase o Forensic ToolKit, que hacen compro-
baciones de forma transparente para el analista y advierten cuando un hash no
coincide para que se puedan tomar medidas.
En la adquisición de evidencias en frío, para garantizar que la evidencia original y la
copia realizada son exactas, se calcula un hash a la evidencia original (HA1) y tiene
que ser igual al segundo hash a la evidencia original (HA2) e igual al hash de la copia
(HB).

Grado en Gestión de Ciberseguridad

Restricted-confidential

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

Hash a la evidencia original

Adquisición

Hash a la evidencia original (HA2) y

a la copia (HB)

En las adquisiciones de evidencias en caliente no se hace un hash del archivo original

porque este varía. Los pasos para estas evidencias son: Adquisición de la evidencia
y hash al resultado de la adquisición. No realizamos el hash a la evidencia original.

Adquisición de la
evidencia

Hash a la copia de
la evidencia

Normativa para la adquisición de evidencias: ISO/IEC 27037

La normativa ISO/IEC 27037: directrices para la identificación, recopilación, adquisi-

ción y preservación de la evidencia digital.
Esta normativa proporciona pautas para el manejo de la evidencia digital sistemati-
zando la identificación, recolección, adquisición y preservación de la misma, con pro-
cesos diseñados para respetar la integridad de la evidencia y con una metodología
aceptable para asegurar a su admisibilidad en procesos legales.

Grado en Gestión de Ciberseguridad

Restricted-confidential

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

Contempla cuatro tipos de adquisición de evidencias: en dispositivos encendidos (en

caliente), en dispositivos apagados (en frío), en dispositivos críticos, adquisiciones
parciales y adquisiciones de dispositivos de almacenamiento.

Grado en Gestión de Ciberseguridad

Restricted-confidential

Ciberataques y ciberdefensa: Gestión de ciberincidentes y brechas de seguridad

No te pierdas en YouTube…

INCIBE: Análisis forense digital - Yolanda Olmedo #CyberCamp19

Bibliografía

Ciberseguridad. 2021. Evidencia digital. [online] Available at:

<https://ciberseguridad.com/servicios/analisis-forense/evidencia-digital/>
FBI. 2021. Recovering and Examining Computer Forensic Evidence by Noblett et al. (Forensic
Science Communications, October 2000). [online] Available at:
<https://archives.fbi.gov/archives/about-us/lab/forensic-science-
communications/fsc/oct2000/computer.htm>
NIST.Guide to Integrating Forensic Techniques into Incident Response. [online] Available at:
<https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=50875>
Webdiis.unizar.es. [online] Available at:
<https://webdiis.unizar.es/~ricardo/files/papers/BRVZ-CEWE-15.pdf>
WeLiveSecurity. 5 fases fundamentales del análisis forense digital | WeLiveSecurity. [online]
Available at: <https://www.welivesecurity.com/la-es/2015/04/15/5-fases-analisis-forense-
digital/>

Grado en Gestión de Ciberseguridad