TALLER DE CONCEPTUALIZACIÓN FORENSE

PRESENTADO POR:

MARLON ALCALA ARENAS

LENA SOFÍA ALAPE CASTAÑEDA

ANDRES FERNANDO BARRIOS MOLINA

BRIGITHE NATHALALIA GAMBOA TRIJILLO

PRESENTADO A:

GILBERTO CASTIBLANCO JIMÉNEZ

UNIVERSIDAD DEL TOLIMA - IDEAD

INGENIERIA DE SISTEMAS - GRUPO 1

ELECTIVA PROFESIONAL III - INFORMATICA FORENSE

IBAGUE – 2022
 INTRODUCCIÓN

Actualmente las tecnologías de la información constituyen un elemento

indispensable para el funcionamiento de organizaciones y empresas de todo tipo.
La ubicuidad de medios informáticos, combinada con el crecimiento imparable de
Internet y las redes durante los últimos años, abre un escenario de oportunidades
para actos ilícitos (fraude, espionaje empresarial, sabotaje, robo de datos,
intrusiones no autorizadas en redes y sistemas y un largo etcétera) a los que es
preciso hacer frente entendiendo las mismas tecnologías de las que se sirven los
delincuentes informáticos, con el objeto de salirles al encuentro en el mismo campo
de batalla. Parte vital en el combate contra el crimen es una investigación de medios
digitales basada en métodos profesionales y buenas prácticas al efecto de que los
elementos de videncia obtenidos mediante la misma puedan ser puestos a
disposición de los tribunales.

OBJETIVOS

➢ definir la Informática Forense.

➢ definir un delito informático.
➢ explicar las fases de una Investigación Forense.
➢ consultar bibliografía de Edmon Locard y definir el “principio de transferencia
de locard”
➢ definir Criminalística y Criminología.
➢ explicar la Clasificación de los hackers.
➢ consultar la importancia de Implementar una política de seguridad como
protección.
➢ permanente de la Información.
➢ definir los elementos que componen una infraestructura tecnológica incluyendo
las de protección- en una empresa corporativa.
➢ definir la investigación científica.
➢ definir que es un NAS y una SAN.
➢ definir qué aspectos de seguridad se deben tener en un Sistema Operativo
para evitar intrusos.
➢ explicar los tipos de riesgos en la informática.
➢ explicar 3 Tipos de Malware.
➢ consultar como poder combatir los posibles ataques de Ransomware.
➢ decir 3 Herramientas que permitan desarrollar una investigación forense.
➢ decir que aspectos se deben tener en cuenta para que una evidencia digital
sea aceptada por un estrado judicial.
➢ decir que aspectos se deben tener en cuenta para presentar un informe final de
investigación forense a una empresa solicitante.

DESARROLLO

1- Defina según sus lecturas realizadas - ¿Que es Informática Forense?

R/: Informática forense es un área que nos ayuda a identificar si la empresa ha
sido víctima de un delito informático o no, es el proceso de identificación y
recolección de información, para luego preservarla, extraer, interpretar,
documentar y presentar las evidencias encontradas ante la ley o tribunal.

2- Defina que es un delito informático.

R/: se considera un delito informático a toda acción que atente contra los
activos de una empresa. Enfocados al sector de recursos informáticos y
tecnológicos.

3- Diga y explique las fases de una Investigación Forense con un ejemplo para
cada fase.
R/: 1. Evaluación de la situación: en esta etapa se obtiene toda la
información posible, el objetivo es tener una idea del caso llevado a cabo.
- Por ejemplo: trabajar sobre la fuente de datos presentada por el administrador
de los servidores (solicitud forense). Aquí se pregunta:
¿Qué información se necesita?
¿Cómo aprovechar la información presentada?
¿En qué orden ubico la información?
¿Acciones necesarias a seguir para el análisis forense?
2. Identificación de la evidencia: en esta fase se identifica que recursos son
evidencia del posible crimen cometido. En esta fase se realiza el siguiente
procedimiento:

- Por ejemplo: se recibe la solicitud forense que es un documento donde el

administrador del equipo afectado notifica de la ejecución de un incidente y
para ello solicita al equipo de seguridad la revisión del mismo, donde incluye
toda la información necesaria para dar inicio al proceso de análisis.
La información incluida en el documento debe ser la
siguiente:
Descripción Del Delito Informático
Información General
Información Sobre El Equipo Afectado
Tipo de dispositivo
Modo de almacenamiento
3. Adquisición de la evidencia: en esta etapa se establecen los
procedimientos o pasos adecuados para la recolección de la evidencia
identificada en el paso anterior, para lo cual:
- por ejemplo: Para asegurar que tanto los procesos como las herramientas a
utilizar sean las más idóneas se debe contar con un personal idóneo a quien se
le pueda asignar la conducción del proceso forense, para ello el equipo de
seguridad debe estar capacitado y entender a fondo la metodología.
4. Preservación de la evidencia: en este punto se resguarda la evidencia
recolectada en el paso anterior. Para lo cual se realiza el siguiente
procedimiento:

- por ejemplo: es imprescindible definir los métodos adecuados para el

almacenamiento y etiquetado de las evidencias. Una vez que se cuenta con
todas las evidencias del incidente es necesario conservarlas intactas ya que
son las “huellas del crimen”, se deben asegurar estas evidencias a toda
costa. Para ello se sigue el siguiente proceso:
Copias de la evidencia: se debe realizar dos copias de las evidencias
obtenidas, generar también una suma de comprobación de la integridad de
cada copia mediante el empleo de funciones hash.
Cadena de custodia: donde se establecen las responsabilidades y controles
de cada una de las personas que manipulen la evidencia. Se debe preparar
un documento en el que se registren los datos personales de todos los
implicados en el proceso de manipulación de las copias, desde que se
tomaron hasta su almacenamiento.
5. Análisis de la evidencia: en esta etapa se estudia toda la evidencia
recolectada anteriormente para establecer quienes, cuando, como y que
alcance tuvo determinado delito informático. Por medio de los siguientes
procedimientos:

- por ejemplo: Se puede utilizar software como VMware5, que permitirá crear
una plataforma de trabajo con varias máquinas virtuales. También se puede
utilizar una versión LIVE de sistemas operativos como Caine6, que permitirá
interactuar con las imágenes montadas, pero sin modificarlas. Si se está muy
seguro de las posibilidades y de lo que va a hacer, se puede conectar los
discos duros originales del sistema atacado a una estación de trabajo
independiente para intentar hacer un análisis en caliente del sistema, se
deberá tomar la precaución de montar los dispositivos en modo sólo lectura,
esto se puede hacer con sistemas anfitriones UNIX/Linux, pero no con
entornos Windows.
6. Presentación del informe: se recopila toda la información de los pasos
anteriores para presentar un informe, llevando a cabo los siguientes pasos:

- por ejemplo: El empleo de formularios puede ayudarle bastante en este

propósito, estos deberán ser rellenados por los departamentos afectados o por
 el administrador de los equipos. Alguno de los formularios que debería
preparar serán:
Documento de custodia de la evidencia
Formulario de identificación de equipos y componentes
Formulario de incidencias tipificadas
Formulario de publicación del incidente
Formulario de recogida de evidencias
Formulario de discos duros.
7. Devolución de la evidencia: luego de que la evidencia haya sido
procesada se precede a la devolución de esta. Teniendo en cuenta los
siguientes pasos:

4- Diga quien fue Edmon Locard y a que se atribuye el “principio de transferencia

de locard”
R/: Edmond Locard (1877-1966) fue un médico y criminalista francés pionero
en la materia. Conocido también como el Sherlock Holmes francés, es el autor
del Principio de Intercambio o Principio de Locard que dice “Siempre que dos
objetos entran en
contacto transfieren parte del material que incorporan al otro objeto”.

Este principio, cuyo desarrollo en toda su extensión sería posible con el

advenimiento de las técnicas de laboratorio de escala micro, sirvió a
Locard de guía para la resolución de un gran número de casos.

5- Explique los conceptos de Criminalística y Criminología

R/: la criminalística es la ciencia encargada de buscar pistas sobre los hechos

ocurridos es decir el como sucedió a través de una serie de pistas, mientras que la
criminología estudia la razón de porque sucedió dicho echo investigando a los
individuos que fueron culpables del crimen.

6- Explique la Clasificación de los hackers

a) White hat o sombrero blanco: son hackers que siguen una serie de reglas
y regulaciones planteadas por el gobierno, estos hackers están autorizados
para que hackeen sistemas de ciberseguridad y encontrar vulnerabilidades
en ellos, para así mismo implementar defensas y corregir estos fallos.
b) Black hat o sombrero negro: este tipo de hackers implementan su
conocimiento en atacar a sistemas donde su acceso es prohibido, y así
mismo poder robar datos o destruir el sistema.
c) Grey hat o sombrero gris: es un tipo de hacker que se encuentra entre los
White hat y los black hat, el objetivo de este hacker no radica ni en ayudar a
defender un sistema, ni en atacar al mismo, su fin es hacer hacking por
experimentar.
d) Blue hat o sombrero azul: son tipos de hackers que carecen de
conocimientos profundos y de base, estos se basan en usar herramientas
dañinas que pueden provocar ciber vandalismo y programar software
malicioso sin tener demasiado claro el funcionamiento del sistema.

7- Diga cuál es la importancia de Implementar una política de seguridad como

protección permanente de la Información

R/: implementar una política de seguridad nos ayuda a evitar que la información se
maneje de forma indebida, y que por lo tanto el acceso a esta información o datos
sea únicamente permitido a dueños de la empresa.

8- Diga que elementos componen una infraestructura tecnológica incluyendo las

de protección- en una empresa corporativa (Servidores... etc)
• Hardware
• Software
• Redes
• Seguridad física

9- ¿Diga que es la investigación científica?

R/: La investigación científica es un método de experimentación matemático y

experimental que consiste en explorar, observar y responder preguntas que
permitan construir y probar una hipótesis previamente establecida.

10- Explique que es un NAS y una SAN

R/: Almacenamiento conectado la red o Network Attached Storage (NAS) es un

dispositivo de almacenamiento en red, que permite que los empleados accedan de
forma remota desde diferentes dispositivos a información o datos de otros desde
un solo almacenamiento para que estos colaboren.

Por otro lado, la red de área de almacenamiento (SAN) es una red de alta
velocidad independiente y dedicada que interconecta y suministra depósitos
compartidos de dispositivos de almacenamiento a varios servidores. Cada servidor
puede acceder al almacenamiento compartido como si fuera una unidad
conectada directamente al servidor.

11- Diga que aspectos de seguridad se deben tener en un Sistema Operativo para
evitar intrusos

R/: 1. Uso de software antivirus y otras medidas de protección de puntos finales.

2. actualizaciones regulares de parches del sistema operativo.

3. un firewall para monitorizar el tráfico de la red.

 4. Aplicaciones de acceso seguro a través de privilegios mínimos y controles
de usuario.

12- Explique los tipos de riesgos en la informática

R/: Riesgos de integridad: abarca riesgos como la autorización, completitud y

exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en
una organización.

Riesgos de relación: uso oportuno de la información creada por una aplicación.

Hace referencia a que la maquina procese la información dada por una persona de
manera correcta para la toma de una buena decisión.

Riesgos de acceso: se enfocan al inapropiado acceso a sistemas, datos e

información.

Riesgos de utilidad: estos riesgos se enfocan en 3 diferentes pilares:

1. Los riesgos pueden ser enfrentados por el direccionamiento de sistemas

antes de que los problemas ocurran.
2. Técnicas de recuperación restauración usadas para minimizar la ruptura de
los sistemas.
3. Backups y planes de contingencia controlan desastres en el procesamiento
de la información.

Riesgos de infraestructura: se refiere a que la organización no cuenta con una

estructura tecnológica adecuada en hardware, software, redes, personas y
proceso para soportar adecuadamente las necesidades tanto futuras como
presentes.

Riesgos de seguridad general: como riesgos de choque eléctrico, inflamabilidad

de materiales, riesgos de incendio, riesgos de radiaciones, etc.…

13- Diga y explique 3 Tipos de Malware

R/: Ransonware: funciona bloqueando o denegando el acceso al dispositivo hasta
que pague un rescate al hacker.

Spyware: con este tipo de malware los hackers pueden supervisar la actividad en
internet de una persona y recopilar datos personales como contraseñas o números
de tarjetas de crédito.

Troyanos: se infiltran en el dispositivo de una víctima presentándose como

software legitimo. Pero al igual que la historia del caballo de troya este en su
interior puede contener otros tipos de malware.

14- Como poder combatir los posibles ataques de Ransomware

R/: 1. Aislar, desconectar y apagar los sistemas de la empresa que hayan sido
infectados.

2. disponer de un plan de continuidad de negocio (BCP) y su componente de

recuperación desastres.

3. informar del ciberataque. Notificar las brechas de seguridad es una norma

de obligado cumplimiento.

4. tener copias de seguridad.

15- Nombre 3 Herramientas que permitan desarrollar una investigación forense.

R/: 1. Nmap: este programa permite rastrear puertos, con el objetivo de obtener
información importante sobre el mismo para controlar y gestionar su seguridad.

2. Snort: sistema de detección de intrusos.

3. Wireshark: es un analizador de paquetes de red, una utilidad que captura

todo tipo de información que pasa a través de una conexión.
16- Diga aspectos se deben tener en cuenta para que una evidencia digital sea
aceptada por un estrado judicial.

R/: para que la evidencia digital sea admitida en un estrado digital debe cumplir
con las siguientes características:

Auténtica: debe haber sido obtenida y registrada en el lugar de los hechos y debe
garantizarse la integridad de la información y dispositivos a presentar como
evidencia.

Confiable: esta evidencia digital debe proceder de fuentes fiables. Es decir, es

confiable si el sistema que la produjo no ha sido violado y funcionaba
correctamente cuando se generó o guardó esa prueba.

Integra: para que esa prueba sea suficiente debe estar completa.

Cumplir las reglas del poder judicial: es necesario que esa evidencia sea
acorde con las leyes y disposiciones vigentes en el ordenamiento jurídico.

17- Diga que aspectos se deben tener en cuenta para presentar un informe final
de investigación forense a una empresa solicitante.

R/ Para presentar un informe final de investigación forense se debe tener en cuenta

que la información plasmada sea exacta, comprensible, clara y completa, además
se debe tener en cuenta que a quien va dirigido por lo que en algunos casos el
receptor no tiene los suficientes conocimientos técnicos, por lo que la terminología
usada y la manifestación de los hechos debe adecuarse a esta situación.
 CONCLUSIONES

• La Informática Forense en la actualidad ha tomado gran importancia porque permite

encontrar las evidencias necesarias y suficientes de un siniestro, evidencia que pueden

ser de gran valor en el momento de resolver un caso, en muchos de estos casos puede ser

la única evidencia disponible.

• La Informática Forense incluso al final de una investigación puede ayudarnos a plantear

recomendaciones, ya que permite establecer los principales controles y seguridades que

deben implementarse en la empresa u hogar.

WEBGRAFÍA

• http://tuaulavirtual.ut.edu.co/pluginfile.php/769304/mod_resource/content/1/

Dialnet-ElRastroDigitalDelCrimen-3740775%20%282%29.pdf

• Evidencia digital (ciberseguridad.com)

• (https://ninjasdelaweb.com/metodologia-de-analisis-forense/)

• (https://www.bcnforensics.com/2018/07/03/quien-fue-edmond-locard/)

• https://www.casadellibro.com.co/libro-introduccion-a-la-informatica-

forense/9788499642093/2085825

• https://informaticaforenseunadcd.blogspot.com/p/frases-informatica-

forense.html

• https://www.vmware.com/latam/topics/glossary/content/storage-area-

network-san.html

• https://blog.lemontech.com/proteccion-seguridad-sistemas-operativos/
• https://es.calameo.com/read/00295591913d7a734a79f

• https://www.avast.com/es-es/c-malware

• https://www.icm.es/2022/05/06/nmap-analisis-de-puertos-y-monitorizacion-

de-redes/

• https://www.ucm.es/pimcd2014-free-software/wireshark

• https://keepcoding.io/blog/7-tipos-de-hackers-2/