Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.

com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 1
ANÁLISIS DE CASOS

Introducción al Análisis Forense

PARTE 2
1
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 2
ANÁLISIS DE CASOS

ÍNDICE
Contenido
1. Introducción a las infraestructuras Cloud ................................................................................................................. 5

2. Definición y características de la nube ......................................................................................................................... 5

3. Tipos de cloud ......................................................................................................................................................................................... 7

1.1.Nubes públicas ....................................................................................................................................................................................... 7

1.2.Nubes privadas ...................................................................................................................................................................................... 7

1.3.Nubes híbridas........................................................................................................................................................................................ 7

1.4.Multiclouds.................................................................................................................................................................................................. 7

4. Servicios de cloud computing ................................................................................................................................................ 8

1.5.IaaS (Infraestructure as a Service) ................................................................................................................................. 8

1.6.PaaS (Platform as a Service) .................................................................................................................................................. 8

1.7.SaaS (Software as a Service) ................................................................................................................................................ 8

5. Riesgos asociados a la cloud ................................................................................................................................................... 9

5.1.Responsabilidad jurídica del cliente y del prestatario. ................................................................................ 9

5.2.Cifrado de los datos almacenados................................................................................................................................... 10

5.3.Desde la accesibilidad a la recuperación de los datos ............................................................................... 10

a) Accesebilidad ......................................................................................................................................................................................... 10

b) Disponibilidad de los datos ........................................................................................................................................................ 10

c) Ubicación de los datos ...................................................................................................................................................................... 11

d) Protección y recuperación de los datos ......................................................................................................................... 11

6. Seguridad lógica y física ............................................................................................................................................................. 11

b) Seguridad física ...................................................................................................................................................................................... 12

7. Análisis forense en Cloud.......................................................................................................................................................... 12

8. Estrategias de análisis forense en cloud................................................................................................................... 14

8.1.Requisitos mínimos ......................................................................................................................................................................... 14

2
Página

8.2.Dominios del análisis forense en cloud. .................................................................................................................... 15

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 3
ANÁLISIS DE CASOS

9. Fases del análisis forense en cloud ................................................................................................................................ 16

9.1.Fase 1: Preparación del entorno ....................................................................................................................................... 16

9.2.Fase 2: Identificación y adquisición de evidencias ........................................................................................ 17

9.3.Fase 3: Preservación de las evidencias ..................................................................................................................... 18

9.4.Fase 4: Análisis de las evidencias ................................................................................................................................... 18

9.5.Fase 5: Documentación e informes ............................................................................................................................... 19

10. Herramientas de análisis forense en cloud ............................................................................................................ 19

11. Análisis forense en IoT ................................................................................................................................................................ 21

12. Internet of Things ............................................................................................................................................................................. 21

12.1.Recomendaciones para securizar IoT……………………………………………………………………………………………………………………………….22

13. Incidentes relacionados con IoT........................................................................................................................................22

13.1..Botnet Mirai………………………………………………………………………………………………………………………………………………………………………………………………………22

13.2. VPN Filter……………………………………………………………………………………………………………………………………………………………………………………………………………..23

14. Análisis forense en dispositivos IoT ...............................................................................................................................23

14.1..Análisis forense en Drones……………………………………………………………………………………………………………………………………………………………24

14.2. Análisis forense en enchufes inteligentes…………………………………………………………………………………………………………………..25

15. Informes de análisis forense ................................................................................................................................................ 26

16. Contenido del informe y marcos de referencia ................................................................................................. 26

16.1. Contenido del informe…………………………………………………………………………………………………………………………………………………………………………26

16.2. Marcos de referencia para la redacción de informes………………………………………………26

17. Estructura de un informe forense: Índice general .........................................................................................27

18. Estructura del informe: Memoria..................................................................................................................................... 29

19. Estructura del informe: Anexos ........................................................................................................................................ 30

20. Herramientas forenses ............................................................................................................................................................... 30

21. Recuperación de ficheros .......................................................................................................................................................... 31

21.1. Foremost y Scalpel…………………………………………………………………………………………………………………………………………………………………………………..31

21.2. Recuva……………………………………………………………………………………………………………………………………………………………………………………………………………………..31

22. Análisis de procesos .......................................................................................................................................................................33

3
Página

23. Análisis y recolección de logs ...............................................................................................................................................34

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 4
ANÁLISIS DE CASOS

24. Análisis forense de red ................................................................................................................................................................35

25. Wireshark ................................................................................................................................................................................................. 36

25.1.NetworkMiner………………………………………………………………………………………………………………………………………………………………………………………………….36

26. Análisis de imágenes .....................................................................................................................................................................37

4
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 5
ANÁLISIS DE CASOS

1. Introducción a las infraestructuras Cloud

Internet está evolucionando continuamente y como consecuencia, las empresas y organizaciones
tienen que adaptarse a las nuevas tecnologías para mejorar sus servicios.

Con el desarrollo del concepto de cloud o nube, aparecen nuevas arquitecturas y plataformas
tecnológicas que ofrecen unas prestaciones muy beneficiosas para el mercado actual.

Comentado [FMJM1]: https://media.datacenterdyna

mics.com/media/images/outline205.width-880.jpg

Fig. 1. Cloud computing

2. Definición y características de la nube

Cloud computing se define como un modelo que permite el acceso a la red bajo demanda a un
conjunto de recursos o servicios tecnológicos configurables y compartidos, cuyo aprovisionamiento
y liberación pude realizarse rápidamente y con un mínimo esfuerzo de gestión e interacción por parte
del proveedor de la nube.

Aunque la definición hoy en día se considera poco precisa debido a la evolución que han sufrido los
servicios en la cloud, siguen compartiendo una serie de características:

• Recursos ofrecidos al cliente con una capa de abstracción.

• Escalabilidad y flexibilidad instantánea.
• Recursos compartidos entre sistemas (hardware, bases de datos, memoria RAM, discos, etc.).
• Pago por uso de los servicios.
• Interacción y gestión a través de APIs.
5
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 6
ANÁLISIS DE CASOS

Comentado [FMJM2]: https://desarrolloscreativos.n

et/wp-content/uploads/2020/04/computacion-en-
la-nube.jpg

Fig. 2. Empresa y cloud

Los principales motivos por los que las organizaciones están interesadas en migrar sus servicios a la
nube son:

• Flexibilidad.
• Fácil y rápida recuperación ante desastres.
• Actualizaciones automáticas de software.
• Facilitan la movilidad geográfica de los clientes.
• Herramientas colaborativas.
• Seguridad y cumplimiento normativo.
• Cuidado del medio ambiente.
• Ahorro económico.
6
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 7
ANÁLISIS DE CASOS

3. Tipos de cloud

Actualmente los tipos de nubes se han diversificado y han dado lugar a cuatro tipos diferenciables en
función de su ubicación, propiedad y relación entre ellas.

1.1. Nubes públicas

Las nubes públicas se encuentran en infraestructuras tecnológicas ajenas al cliente. Su objetivo es
facilitar el acceso a los servicios únicamente disponiendo de una conexión a Internet.
Este tipo de nubes ofrecen sus servicios a diferentes clientes, por lo que utilizan una infraestructura
que es compartida por todos ellos. Algunos de los proveedores de servicios cloud son Amazon Web
Services (AWS), Microsoft Azure y Google Cloud.

1.2. Nubes privadas

Al contrario que en las nubes públicas, las nubes privadas se basan en que la infraestructura
tecnológica pertenece al propio cliente y se ubican en su centro de datos.
La explotación del servicio cloud queda restringido por tanto, al propio cliente, quedando aislado el
acceso de terceros a los recursos.

1.3. Nubes híbridas

Las nubes híbridas están compuestas por al menos una nube privada y otra pública. Aunque son
infraestructuras diferentes e independientes entre sí, permiten la comunicación entre ambas para
facilitar la portabilidad de las aplicaciones y los datos. Generalmente se llega a este nivel de
computación en la nube cuando el cliente encuentra limitaciones en su nube privada que necesita
ampliar o mejorar.

1.4. Multiclouds
Una multicloud consiste en la combinación de dos o más nubes del mismo tipo (privada o pública).
De esta forma es posible combinar servicios en diferentes nubes, por ejemplo, cuando nuestro
proveedor cloud no dispone de una aplicación concreta en su catálogo de servicios.
También podemos utilizar multicloud como sistema de alta disponibilidad o redundante.
7
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 8
ANÁLISIS DE CASOS

4. Servicios de cloud computing

Los servicios de cloud computing son muy variados y abarcan prácticamente toda una pila tecnológica
de servicios, desde la propia infraestructura hardware y de comunicaciones, hasta sistemas
operativos y aplicaciones front-end para los clientes.
Existen tres modelos de servicios aceptados actualmente: IaaS, PaaS y SaaS .

1.5. IaaS (Infraestructure as a Service)

En un servicio IaaS, el proveedor proporciona todos los recursos hardware relacionados con
servidores, comunicaciones y redes, almacenamiento físico y virtualización.
El cliente que ha contratado dicho modelo tendrá acceso a los recursos a través de Internet y deberá
ser el responsable de los sistemas operativos a instalar, aplicaciones finales y la capa middleware
entre aplicaciones.

1.6. PaaS (Platform as a Service)

El modelo PaaS proporciona toda la capa hardware (IaaS) y, además, ofrece una plataforma de
software de aplicaciones.
Esta capa de abstracción es generalmente usada por los desarrolladores de software para desarrollar
aplicaciones. En este nivel, el proveedor del servicio ofrece las librerías, lenguajes de desarrollo y la
capa middleware. Por otra parte, el cliente podrá explotar las aplicaciones desarrolladas y los datos
manejados por dicho software.

1.7. SaaS (Software as a Service)

En esta capa de servicios, el proveedor pone a disposición del cliente productos o software final. El
proveedor se encarga de gestionar todas las capas subyacentes, así como la propia aplicación o
producto ofrecido, por lo que el cliente tan solo se dispone a explotar dicho recurso. Generalmente,
estas aplicaciones o productos son aplicaciones web o móviles de fácil acceso a través de cualquier
navegador web.
8
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 9
ANÁLISIS DE CASOS

Comentado [FMJM3]: https://nanobytes.es/web/im

age/55083/Comparativa%20iaas%20paas%20saas.pn
g?access_token=760263c2-d615-4e27-887f-
a463ed1366d0

Fig. 4. Servicios cloud

5. Riesgos asociados a la cloud

Los riesgos asociados a un entorno cloud son diversos, pueden ir desde cumplimientos normativos,
leyes, protección y accesibilidad de la información, etc. A continuación describiremos algunos de
estos riesgos.

5.1. Responsabilidad jurídica del cliente y del prestatario.

• Derechos y obligaciones. Los datos almacenados en los recursos del prestatario (cloud) pueden
ser muy variados: fotos, documentos, audios, videos, datos personales, etc. En España, hay que
tener en cuenta tres derechos y obligaciones sobre los datos almacenados:
o Los derechos de autor: Están descritos en la Ley de la propiedad intelectual.
o El derecho a la vida privada: Recogido en el artículo 18.1 de la Constitución Española.
Cualquiera puede oponerse a la difusión de sus datos e información personal.
o Ilegalidad de documentos: Los contenidos pedófilos/pornográficos y aquellos que inciten
a cualquier tipo de odio son ilegales y no pueden almacenarse en un proveedor de
servicios.
• Responsable de los datos. Si un usuario o cliente almacena datos que incumplen las leyes en un
proveedor de servicios, en el artículo 16.1.a de la ley 34/2002, de 11 de julio, de servicios de la
sociedad de la información y de comercio electrónico, se específica que el proveedor no es el
responsable de los datos allí almacenados, siempre que no tenga conocimiento de dicha
ilegalidad. Pero, sí que tiene la obligación de poder ser capaz de verificar los datos si se ha emitido
una queja o denuncia.
• Obligación de información del proveedor. Dado que los clientes y usuarios pueden llegar a
9
Página

desconocer las leyes y normativas vigentes, el proveedor tiene la obligación de informar sobre la

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 10
ANÁLISIS DE CASOS

legislación y las acciones ilegales. De esta forma, se recoge en la misma ley de servicios de la
información y de comercio electrónico.
• Seguridad de los datos. El proveedor de servicios, como responsable del fichero de los datos
almacenados, debe contar con los medios necesarios para garantizar la integridad,
confidencialidad y la disponibilidad de los mismos. Se recoge en el articulo 9.1 de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

5.2. Cifrado de los datos almacenados

Uno de los aspectos más importantes durante la operación con servicios cloud es mantener la
confidencialidad de los datos almacenados. Los datos deben cifrarse mediante un sistema de
criptografía fuerte (criptografía asimétrica) para evitar que su contenido se vea comprometido en el
caso de que surja algún problema en la seguridad del proveedor cloud.

5.3. Desde la accesibilidad a la recuperación de los datos

a) Accesebilidad

La accesibilidad a los datos almacenados en la cloud representa un problema para cualquier cliente.
Las aplicaciones o plataformas de una cloud se implementan sobre arquitecturas tecnológicas
compartidas por multitud de usuarios y clientes. Por tanto, deben existir medidas que restrinjan y
aíslen los datos entre clientes.
Además, el propio proveedor tampoco debería tener acceso al contenido de dichos datos, por lo que
debemos cifrar la información almacenada, tal y como se ha comentado en el punto anterior.

b) Disponibilidad de los datos

Un proveedor de servicios cloud debe garantizar la disponibilidad de los datos de los clientes en todo
momento.
Es un problema que un cliente pierda el acceso a sus datos, ya que puede afectar a su operación y
acarrear graves problemas económicos.
10

Para minimizar el riesgo, se firman contratos de SLA (Service Level Agreement). En estos contratos se
Página

establecen las condiciones de disponibilidad del servicio, así como otros factores como la calidad

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 11
ANÁLISIS DE CASOS

(QoS) y el tiempo de respuesta.

En caso de incumplimiento o caída del servicio, generalmente el proveedor se verá obligado a pagar
indemnizaciones por daños y perjuicios.

c) Ubicación de los datos

La ubicación de los datos almacenados influye en cómo puede llegar a ser su gestión. Cada país tiene
una legislación diferente y puede tener una importante repercusión, por ejemplo, los proveedores
de cloud, podrían tener acceso por ley a los datos almacenados, algo que no se estaría dispuesto a
permitir en otro país.
En España, los proveedores de servicios cloud deben ser capaces de acceder a los datos almacenados
de sus clientes en caso de una investigación (artículos 11 y 36 de la LSSI-CE). Aun así, dentro de países
de la Unión Europea existe cierta colaboración en investigaciones judiciales.

d) Protección y recuperación de los datos

En el caso de que tenga lugar un incidente en el proveedor cloud y el acceso o la integridad de los
datos se vea afectada, el cliente querrá estar cubierto ante este tipo de circunstancias. Para ello, se
complementan los SLAs con los tiempos de recuperación (RTO) y la cantidad de datos perdidos
tolerables (RPO). Estos datos también deben quedar reflejados en el contrato con el proveedor, ya
que pueden acarrear pérdidas importantes.

6. Seguridad lógica y física

a) Seguridad lógica

Con la evolución de los servicios cloud, existen algunos aspectos a considerar ya que pueden ser
orígenes de vulnerabilidades que pueden poner en riesgo la seguridad en la nube.
• Virtualización: Actualmente es el servicio más utilizado por sus características de adaptación,
escalabilidad y reducción de costes. Cada plataforma de virtualización conlleva sus propias
medidas de seguridad y configuraciones específicas. Los hipervisores más comunes son KVM,
11

VMware ESX, y Microsoft Hyper-V. Deben controlar que un cliente pueda acceder al hipervisor
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 12
ANÁLISIS DE CASOS

desde una máquina virtual, a través de alguna vulnerabilidad, además, una denegación de servicio
en una máquina virtual no debe afectar al resto de máquinas virtuales.
• Hermetismo lógico: Las zonas de seguridad deben permitir la elasticidad de los recursos de las
máquinas virtuales pero manteniendo el aislamiento entre ellas. Se pueden emplear firewalls
virtuales en las propias maquinas o en otras nuevas, gestionadas por el cliente, o incluso en el
propio hipervisor. A nivel de comunicaciones, el uso de VLAN (Virtual Local Area Network) nos
permitirá aislar el tráfico de red de dichas máquinas.
• Acceso a los recursos: La implementación de mecanismos de autenticación multifactor es
primordial para el acceso a los recursos. Además, un sistema basado en roles permitirá gestionar
el acceso autorizado a los recursos.
• Auditorías: Deben realizarse auditorías de seguridad para prevenir la aparición de
vulnerabilidades y minimizar el riesgo en caso de un incidente. Siempre que sea posible, deben
realizarse sobre toda la arquitectura cloud, hipervisores, aplicaciones, código fuente, etc.

b) Seguridad física
Los servicios cloud también deben protegerse ante incidentes y catástrofes físicas.
• Control de acceso: Hay que establecer un sistema de control de acceso robusto que identifique y
autorice a los técnicos que entran y salen de los centros de datos. Un acceso no autorizado podría
derivar en un sabotaje de la infraestructura.
• Catástrofes naturales: Los centros de datos deben contar con medidas para luchar contra este
tipo de catástrofes. Por ejemplo, empleando alarmas de incendios, controles de humedad,
ventilación, sistemas de seguridad eléctrica, etc.
• Redundancia: Una de las formas más triviales de mediar contra problemas hardware es la
redundancia. En un centro de datos todos los componentes de la arquitectura deben estar
duplicados, de esta forma, si falla alguno de ellos, el sistema o la arquitectura podrá seguir
funcionando. Además, también es muy común que los propios centros de datos se encuentren
replicados en distintas ubicaciones geográficas para asegurar que el servicio no se ve afectado
ante una catástrofe.

7. Análisis forense en Cloud

El análisis forense en cloud puede llegar a ser algo más complejo debido a la entrada en escena de
12

más actores, como son los proveedores de servicios cloud (CSP) y los recursos compartidos entre
Página

clientes.

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 13
ANÁLISIS DE CASOS

Las fases de adquisición y reporting son las fases de la metodología forense que se verán más
afectadas, ya que, las nuevas tecnologías y procedimientos a aplicar en la nube para la adquisición
de evidencias deberán ser específicos para los entornos cloud.

Fig. 1. Análisis forense en cloud

13
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 14
ANÁLISIS DE CASOS

8. Estrategias de análisis forense en cloud

El análisis forense en entornos cloud tiene muchas similitudes con el análisis tradicional, aunque en
algunas de las actividades o fases se requieren de procedimientos más específicos.
Dada la dificultad o adversidades que podamos encontrar durante el análisis, es fundamental que el
entorno cloud disponga de una configuración de monitorización y registro que cumpla unos
requisitos mínimos para poder realizar la gestión de un incidente y análisis forense posterior.

8.1. Requisitos mínimos

Se deben definir unos requisitos mínimos a cumplir para poder realizar un análisis forense en
entornos cloud:
• Planificación. La configuración de los recursos de la cloud y los procedimientos deben
contemplar y permitir la gestión de incidentes y los análisis forenses necesarios para resolver
dichos incidentes.
• Conocimiento del entorno. Es fundamental que se disponga de documentación sobre el
despliegue y funcionamiento del entorno. Además, comprender la arquitectura de estos recursos
es crítica para poder realizar la gestión de incidentes y análisis forenses, por lo que los técnicos
deben tener una formación acorde a las exigencias de la nube.
• Cumplimiento legal. En un entorno cloud, el cumplimiento legal y normativo es algo más
complejo debido a la distribución geográfica, responsabilidad de los datos y los recursos
compartidos. Las legislaciones deben ser analizadas para evitar problemas posteriores y adaptar
el entorno para el cumplimiento legal necesario, como pueden ser, en caso de España, la RGPD y
la directiva europea NIS (que detallaremos en el módulo de Normativa en Ciberseguridad).
• Rigurosidad. Es importante implementar una metodología que permita mantener la rigurosidad
en cada una de las fases de la que está compuesta. En los entornos cloud, existen fases algo más
complejas que requieren ser escrupulosos en su ejecución, como pueden ser las fases iniciales de
preparación y adquisición. Además, mantener la cadena de custodia en estos entornos requiere
un mayor esfuerzo.
• Eficiencia. Siempre que sea posible, debemos simplificar el análisis forense. Por ello, y dado que
los recursos humanos y técnicos suelen ser limitados, debemos adaptarlos para obtener los
14

mejores resultados posibles. En la nube, el acceso a los datos no es tan trivial durante un forense,
las leyes, disponibilidad de la información, distribución geográfica, etc., dificulta poder realizar un
Página

análisis exhaustivo, por lo que hay que focalizar el esfuerzo en los recursos disponibles.
ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM
 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 15
ANÁLISIS DE CASOS

8.2. Dominios del análisis forense en cloud.

A la hora de definir una estrategia de análisis forense en entornos cloud, existen unas áreas o
dominios que deben tenerse en cuenta y sobre las que aplican los requisitos descritos anteriormente:
• Dominio regulatorio. A la hora de realizar un análisis forense debemos tener en cuenta el marco
legal y normativo y que debemos respetar durante todo el proceso.
Dependiendo del proveedor de servicios y el alojamiento de los recursos, estos pueden verse
afectados por leyes y normativas que impidan el acceso a los datos. En muchas ocasiones, el
principal inconveniente es la poca o nula colaboración por parte del proveedor de servicios de la
cloud.
Además, también puede existir un marco legal que afecte a los clientes.
En ocasiones, también puede darse el caso de que existan acuerdos de SLAs que dificulten la
adquisición de evidencias.
• Dominio organizativo. Para poder realizar un análisis forense en cloud, los recursos económicos,
humanos y técnicos deben garantizarse durante todo el proceso. Por ello, es necesario asignar
los roles y responsabilidades para que todos puedan trabajar sin bloqueos, así como la definición
de procedimientos y metodologías a emplear.
Todas las partes involucradas en el análisis forense en cloud, como pueden ser, el proveedor de
servicios, el cliente y los comités de dirección, deben ser conscientes del trabajo a realizar y
deben contribuir para que el análisis forense pueda finalizar sin dificultades minimizando
cualquier tipo de riesgo técnico o legal.
• Dominio técnico. Los niveles de servicio (IaaS, PaaS, SaaS) van a influir a la hora de realizar un
análisis forense. Dependiendo de qué tipo de servicio se haya implementado, permitirá al analista
adquirir un número mayor o menor de evidencias, así como la limitación de poder utilizar
herramientas forenses específicas que tengan que ser instaladas y ejecutadas en la
infraestructura cloud del cliente.
De la misma forma, el tipo de cloud escogido también será crucial para conseguir acceso a los
datos a analizar. No es lo mismo trabajar sobre una cloud privada que sobre una cloud híbrida y
multicliente, donde los recursos compartidos entre clientes pueden verse afectados por alguna
normativa que impida el acceso a los datos.
Por último, las características de las aplicaciones y sistemas operativos sobre los que se realizará
15

el forense requerirán unos conocimientos específicos sobre ellos para poder extraer las
Página

evidencias pertinentes.

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 16
ANÁLISIS DE CASOS

9. Fases del análisis forense en cloud

Las fases de un análisis forense en cloud se pueden comparar con las de un análisis tradicional,
aunque ciertas fases podrían ser más complejas o específicas dada la naturaleza de la nube. A
continuación, describiremos las fases de un análisis forense en cloud.

9.1. Fase 1: Preparación del entorno

En entornos cloud, la capacidad para instalar y utilizar herramientas forenses de terceros no siempre
será posible, dependerá del tipo de cloud, servicio y aspectos legales con los que nos encontremos.
Debido a esto, es primordial que el entorno cloud esté preparado para que puedan realizarse análisis
forenses, adecuando las herramientas y configuraciones necesarias para que cuando tenga lugar un
incidente, se pueda actuar con rapidez y eficacia.

Teniendo en cuenta los dominios y requisitos de una estrategia de seguridad, debemos tener
presentes los siguientes puntos a la hora de adaptar la cloud para el análisis forense:

• Identificar y cumplir con el marco regulatorio y contractual.

• Involucrar a la Dirección de los actores intervinientes.
• Definir una estrategia, metodología y procedimientos adecuados.
• Formación en materias de ciberseguridad a los clientes. Los analistas forenses también deben
estar formados en las arquitecturas cloud.
• Desplegar herramientas de monitorización de eventos del proveedor cloud.
• Configurar los sistemas para realizar una gestión de logs y capturar los eventos ocurridos en todos
los niveles de la arquitectura cloud. La preservación de los logs debe estar asegurada en tiempo
y almacenamiento.
• Definir los acuerdos de niveles de servicio (SLA).
• Recopilar todos los eventos de seguridad, por ejemplo, de las herramientas antimalware, IPS/IDS
y firewalls, así como los eventos relacionados con el acceso y autorización (AAA).
• Disponibilidad de una herramienta tipo SIEM para poder consultar y adquirir evidencias de los
eventos ocurridos.
16
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 17
ANÁLISIS DE CASOS

Fig. 3. Preparación del entrono que afecta a la nube

9.2. Fase 2: Identificación y adquisición de evidencias

En esta fase tiene lugar la adquisición de las evidencias reconocidas durante la identificación.
En un nivel de servicio IaaS, la adquisición de las evidencias por parte del cliente/analista resulta más
trivial y puede seguir la metodología de un análisis forense tradicional. En este nivel de servicio, el
cliente tiene prácticamente todo el control sobre su infraestructura y los datos almacenados, por lo
que la adquisición tan solo dependerá de las herramientas forenses específicas para entornos cloud,
si es que son necesarias.
En cambio, en los servicios de tipo PaaS y SaaS, probablemente necesitemos que el proveedor de
servicios colabore para poder extraer las evidencias ya que, estos modelos implementan una capa de
abstracción que dificulta la recopilación de las mismas.
Durante la adquisición, siempre debemos tener en cuenta el orden de volatilidad de las evidencias,
incluyendo una extensión de los recursos en la nube, como pueden ser los metadatos del cliente
almacenados en el proveedor de servicios en la nube.
Para extraer las evidencias en la nube, podemos hacer uso de las herramientas específicas para cloud
y otras que permitan realizar la adquisición de forma remota conectándose directamente al recurso,
o bien, desplegando algún agente.
De cualquier forma, durante la adquisición debe mantenerse la cadena de custodia (integridad y
marcas de tiempo) para conservar la validez de las evidencias ante un proceso judicial.
17
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 18
ANÁLISIS DE CASOS

Fig. 4. Adquisición de evidencias

9.3. Fase 3: Preservación de las evidencias

La preservación de las evidencias es fundamental para mantener la validez de las pruebas, así como
la disponibilidad de las mismas durante el análisis de la información.
Siempre hay que mantener la cadena de custodia actualizada y controlar el acceso a las evidencias
mediante procesos de identificación, autenticación y autorización. La asignación de roles y
responsabilidades determinará quién debe tener acceso a las evidencias.
Además, el acceso a los recursos de la nube se realiza a través de conexiones remotas, así que,
siempre que sea posible, las evidencias y copias de seguridad adquiridas deberían almacenarse en
local y no en la nube.
También es necesario realizar las copias de seguridad a partir de las evidencias originales y
almacenarlas en ubicaciones distintas al original, así obtenemos una protección ante una catástrofe,
robo o perdida.

9.4. Fase 4: Análisis de las evidencias

En la fase de análisis tiene lugar la investigación de los hechos para esclarecer el caso forense. Hoy
en día, y teniendo en cuenta los servicios cloud, cada vez hay más fuentes a analizar en busca de
evidencias por lo que el número de las mismas se ha incrementado notablemente.

La nube ofrece la capacidad de realizar el análisis en remoto, gracias a los snaphsots de las maquinas
afectadas por el incidente y a la facilidad de desplegar una máquina virtual con herramientas forenses
en muy poco tiempo, lo que permite realizar un análisis forense tradicional en la mayoría de las
ocasiones.
Sin embargo, también puede ser necesario descargar las evidencias y tratarlas localmente, sobre todo
si van a ser requeridas en un proceso judicial.
18

Algunas nubes están comenzando a implementar FaaS (Forensics as a Service) o DFaaS (Digital
Página

Forensics as a Service), estos servicios ofrecen un entorno securizado en la nube con herramientas
ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM
 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 19
ANÁLISIS DE CASOS

de adquisición y análisis de evidencias, lo que facilita las actividades forenses al analista.

Fig. 5. DFaaS

9.5. Fase 5: Documentación e informes

En la última fase, se generan los informes con los resultados y se exponen al público objetivo. No
existen diferencias importantes respecto al enfoque clásico, pero si algunas consideraciones:
• Incluir al proveedor de servicios cloud en la presentación de los resultados.
• Las conclusiones y remediaciones sugeridas puede que no puedan implementarse en servicios
cloud debido a clausulas en contratos o por afectación a multicliente.
• Si es necesario iniciar acciones legales, hay que revisar las condiciones de los contratos de los
proveedores de servicios ya que, pueden existir clausulas específicas para estos casos.
• Las evidencias de clientes deben protegerse ante cierto público, como puede ser, el proveedor
de servicios, y también dependiendo del tipo de evidencia, datos confidenciales o personales.

10. Herramientas de análisis forense en cloud

La mayoría de las herramientas forenses pueden emplearse tanto en servicios cloud como en
infraestructuras on-premise, pero hay algunas de ellas que se han diseñado específicamente para
entornos cloud, sobre todo orientadas a la adquisición de evidencias.
Algunas herramientas específicas para entornos cloud son:

• Cellebrite UFED Cloud Analyzer. Es una herramienta comercial, puede que la más conocida,
que permite adquirir y analizar las evidencias recopiladas en la nube. Puede obtener
evidencias de infinidad de servicios, como redes sociales, mensajería instantánea, sistemas
de almacenamiento, etc.
• Cloud Trail. Esta herramienta forma parte de la cloud de AWS. Permite realizar un
19

seguimiento de la actividad de los usuarios y el uso de las API.

Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 20
ANÁLISIS DE CASOS

• FROST. Es una solución de adquisición forense que trabaja a nivel IaaS de OpenStack. Permite
la adquisición de discos virtuales, logs de API y logs de firewalls de las máquinas virtuales,
entre otros.
• OWADE. Es una herramienta forense que permite adquirir los datos de navegación e historial
de un sistema operativo Windows, así como de las aplicaciones de mensajería y Wi-Fi.
Actualmente su desarrollo está descontinuado.
20
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 21
ANÁLISIS DE CASOS

11. Análisis forense en IoT

En los últimos años, Internet of Things (IoT) ha cobrado un interés especial, convirtiéndose en una de
las tecnologías más importantes del siglo.

La capacidad de conectar dispositivos cotidianos (electrodomésticos, coches, relojes, etc.) a Internet

ha mejorado la comunicación entre las personas, los procesos y las “cosas”.

Fig. 1. IoT

12. Internet of Things

IoT se define como una agrupación de dispositivos conectados a una red pública o privada,
interaccionando todos entre sí (machine to machine).
La evolución de Internet y la tecnología ha favorecido que cada vez más, cualquier dispositivo sea
conectado a la red para transmitir e intercambiar información.
Por ejemplo, ya existen frigoríficos que pueden conectarse a Internet, o drones, ropa, bombillas,
cafeteras y todos los dispositivos asociados a la domótica.
En la mayoría de los casos, estos dispositivos no han sido diseñados teniendo en cuenta las posibles
amenazas de la red, por lo que suelen estar conectados sin ninguna configuración de seguridad.
Este hecho da lugar a que exista una cantidad ingente de dispositivos vulnerables conectados a
Internet, al alcance de cualquiera que pueda sacar provecho ilícito de ellos.
21
Página

Fig. 2. Credenciales por defecto

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM
 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 22
ANÁLISIS DE CASOS

12.1. Recomendaciones para securizar IoT

Para poder disminuir el riesgo de los dispositivos IoT conectados a la red de una organización se
deben tener en cuenta las siguientes recomendaciones:

• Identificar, registrar y aprobar la conexión de cualquier dispositivo IoT a la red corporativa.

• Limitar la conexión a Internet directa para cualquier dispositivo. Deben implementarse controles
intermedios para disminuir la exposición.
• Utilizar redes aisladas y segmentación de red para IoT.
• Realizar auditorías de seguridad sobre los dispositivos IoT.
• Monitorizar las conexiones de red de los dispositivos.
• Redactar políticas de seguridad para cada tipo de dispositivo IoT.
• Revisar la configuración de los dispositivos antes de conectarlos a la red.
• Implementar los mecanismos necesarios para monitorizar la actividad de los IoT, copias de
seguridad de la configuración aplicada, supervisión de las conexiones de red, etc.
• Registrar y auditar las identidades que tienen acceso a los dispositivos IoT en cada momento.
• Definir SLA en los contratos con proveedores de dispositivos IoT.

13. Incidentes relacionados con IoT

Aunque puede parecer raro, también existen ataques contra dispositivos IoT y malware
específico para ellos. Algunos de los incidentes más conocidos son los detallados a continuación.

13.1. Botnet Mirai

Esta botnet fue detectada en 2016 y su objetivo eran los dispositivos IoT, principalmente routers
domésticos y cámaras IP de videovigilancia.

Este malware se aprovechaba de estos dispositivos para realizar ataques de denegación de

servicio distribuidos (DDoS) bajo demanda a un objetivo concreto.
Mirai tenía la capacidad de comprometer dispositivos con sistemas operativos Windows y Linux,
por lo que su alcance cubría prácticamente todo el mercado.
22

Para hacerse con el control de los dispositivos IoT, simplemente rastreaba la red en busca de
Página

dispositivos con credenciales de acceso por defecto (conocidos). La mayoría de estos

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 23
ANÁLISIS DE CASOS

dispositivos se venden con credenciales muy básicas y compartidas, como por ejemplo,
“admin/admin”.

13.2. VPN Filter

Es otra botnet que en 2018 impactó sobre los routers y NAS de multitud de fabricantes. El grupo
de hackers ruso Fancy Bear fue quien la desarrolló.

Este malware también tenía la capacidad de realizar ataques DDoS contra un tercero. Además,
descargaba un módulo en la maquina infectada con el que podía romper las comunicaciones
seguras entre el usuario y un sitio remoto (man in the middle).
Este ataque tenía un alto impacto en la confidencialidad, ya que le permitía espiar y extraer
información sensible de los usuarios, sin nombrar la afectación que podía tener el robo de
información en el caso de personas influyentes o de organizaciones de interés, como la industria
militar.

Hoy en día, aún siguen existiendo routers infectados y vulnerables a esta botnet, aunque el FBI
ya ha conseguido tomar el control de los servidores que la sostienen para desarticularla.
23
Página

14. Análisis forense en dispositivos IoT

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM
 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 24
ANÁLISIS DE CASOS

El análisis forense en IoT irá en función de cada tipo de dispositivo o firmware. En muchas
ocasiones será muy complicado realizar un forense e incluso, habrá que emplear técnicas
hardware de bajo nivel para poder obtener algo de información. Veamos algunos ejemplos a
continuación.

14.1. Análisis forense en Drones

Los drones son unos dispositivos que cada vez están más de moda. Los de gama media y alta son los
más interesantes, ya que pueden ser utilizados para realizar actividades mucho más complejas, como
reparto de pedidos, sobrevolar zonas de catástrofes naturales y misiones militares.

Los drones tienen una memoria interna operando sobre un sistema operativo Linux en la mayoría de
los casos, donde se almacena información sobre zonas de exclusión aérea, rutas y coordenadas.
También suelen disponer de una tarjeta externa extraíble tipo SD a la que podremos acceder
directamente o desmontando alguna carcasa del dron y así llegar a los datos almacenados, como
videos o fotografías en sí, o a los metadatos que aportan éstas (que serán útiles para obtener datos
de posicionamiento, fechas de evidencias, horarios,…).
En la mayoría de los casos, podremos acceder a estas memorias a través de una conexión USB, lo
que facilita la adquisición de evidencias para un análisis forense.
En el caso de aquellos modelos con mando, también es deseable poder acceder a él. Igualmente
ocurre con el móvil asociado al dron, pero en este caso, basta con realizar un análisis forense móvil
tal y como ya conocemos.
24

Fig. 4. Dron Phantom 2

Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 25
ANÁLISIS DE CASOS

14.2. Análisis forense en enchufes inteligentes

Uno de los dispositivos más IoT más comercializados son los enchufes inteligentes. Estos tipos de
enchufes se conectan a la red y se pueden administrar de forma remota.
Por ejemplo, podemos realizar las siguientes operaciones desde nuestro teléfono móvil:
• Encender/Apagar el dispositivo conectado al enchufe.
• Acceder y operar con el enchufe desde el móvil, Amazon Alexa, Google Assistant, etc.
• Programar horarios de encendido/apagado.

Uno de los principales fabricantes de estos tipos de elementos es “Meross”, que está especializado
en domótica. Si tenemos en cuenta uno de sus dispositivos, por ejemplo, el enchufe “Smart Plug”,
un análisis forense estaría enfocado a realizar la adquisición y análisis teniendo en cuenta sus
características particulares (como hemos adelantado, cada forense en IoT dependerá de las
particularidades de cada dispositivo)

Para operar con “Smart Plug”, necesitaremos instalar su aplicación en nuestro dispositivo móvil, en
este caso, tendremos que realizar un forense al móvil y a la aplicación.

Si nos centramos en el propio dispositivo, este tendrá un direccionamiento IP asignado para poder
conectarse a la red e Internet.
Podemos lanzar una herramienta de análisis de puertos sobre la IP del dispositivo para descubrir los
servicios que está ejecutando. El “Smart Plug” dispone de un servidor web y un telnet.

Podremos acceder al servidor web a través de un navegador, incluso podremos hacer un

descubrimiento de recursos, como la página de firmware o la de login y extraer la configuración del
dispositivo, así como los registros de logs si los tuviera.

Al servidor de telnet podemos conectarnos a través de un cliente telnet y, descubriremos que el

acceso no está protegido por contraseña en la mayoría de los casos. Una vez dentro, podemos
acceder a los directorios del sistema operativo y extraer todas las evidencias que podamos .
25
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 26
ANÁLISIS DE CASOS

15. Informes de análisis forense

Los informes de análisis forenses e informes periciales consisten en la redacción de todo el proceso
de análisis forense que ha sido llevado a cabo.
Dichos informes deben tener una estructura lógica y un lenguaje comprensible para el público
objetivo.
Además, los informes periciales y forenses podrán ser utilizados en causas judiciales para valorar las
evidencias digitales.

Comentado [FMJM4]: https://concepto.de/wp-

content/uploads/2015/05/como-hacer-un-informe-
e1546883186150.jpg

Fig. 1. Documentos e informes

16. Contenido del informe y marcos de referencia

16.1. Contenido del informe

El informe forense informático debe estar compuesto por, al menos, los siguientes bloques de
información:
• Datos de identificación personal del analista o perito forense. También se pueden incluir aquellos
relacionados con la formación y que acrediten la experiencia del analista.
• Descripción del objetivo del análisis forense y el alcance del trabajo realizado.
• Metodología y procedimientos seguidos durante el análisis.
• Las conclusiones del resultado del análisis forense.

16.2. Marcos de referencia para la redacción de informes

No existe una norma o marco de referencia único y obligatorio para la redacción de un informe
forense, pero sí que, según las circunstancias, deben ser redactados teniendo en cuenta alguna de
las siguientes normas.
26

Por ejemplo, para obtener un informe con visado colegial de CPTIA (Colegio Profesional de Ingenieros
Página

Técnicos en Informática de Andalucía), se deben seguir las indicaciones definidas en la norma UNE

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 27
ANÁLISIS DE CASOS

1570001 (Criterios generales para la elaboración formal de los documentos que constituyen un
proyecto técnico).
Algunos de los estándares que pueden ser utilizados en la redacción de análisis forenses y periciales
son:

• UNE 197010:2015: Criterios generales para la elaboración de informes y dictámenes periciales

sobre Tecnologías de la Información y las Comunicaciones (TIC)
• UNE 71505-1:2013: Tecnologías de la Información (TI). Sistema de Gestión de Evidencias
Electrónicas (SGEE). Parte 1: Vocabulario y principios generales
• UNE 71505-2:2013: Tecnologías de la Información (TI). Sistema de Gestión de Evidencias
Electrónicas (SGEE). Parte 2: Buenas prácticas en la gestión de las evidencias electrónicas
• UNE 71505-3:2013: Tecnologías de la Información (TI). Sistema de Gestión de Evidencias
Electrónicas (SGEE). Parte 3: Formatos y mecanismos técnicos
• UNE 71506:2013: Tecnologías de la Información (TI). Metodología para el análisis forense de las
evidencias electrónicas
• UNE-EN ISO/IEC 27037:2016: Tecnología de la información. Técnicas de seguridad. Directrices
para la identificación, recogida, adquisición y preservación de evidencias electrónicas (ISO/IEC
27037:2012)
• UNE-EN ISO/IEC 27042:2016: Tecnología de la información. Técnicas de seguridad. Directrices
para el análisis y la interpretación de las evidencias electrónicas (ISO/IEC 27042:2015).

17. Estructura de un informe forense: Índice general

El informe forense debe ser redactado para que pueda ser interpretado por cualquier otro analista
forense o perito, necesario sobre todo en procesos judiciales. Además, el lenguaje debe ser claro y
conciso, empleando la nomenclatura y terminología adecuada para un análisis forense digital.

Como hemos comentado, un informe puede estar condicionado por un estándar UNE o por cualquier
otra norma, en este caso, detallaremos la estructura para un informe basado en el estándar UNE
157001 (Criterios generales para la elaboración de proyectos) para proyectos técnicos, como es el
caso de un análisis forense digital.
27

Teniendo en cuenta el estándar anterior, el informe debe constar de los siguientes documentos:
Página

• Índice general.
ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM
 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 28
ANÁLISIS DE CASOS

• Memoria.
• Anexos.

El índice general se utiliza para indexar y enumerar cada uno de los apartados y documentos de los
que consta el informe forense.
No existe una distinción diferente o especial para el índice, pudiéndose emplear un formato donde
se indique el número de página para cada entrada del índice, tal y como estamos acostumbrados a
ver en libros, revistas y otros informes.

Comentado [FMJM5]: https://www.bibguru.com/es

/guides/img/cita-apa-informe-400x400.png

Fig. 2. Informe forense

28
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 29
ANÁLISIS DE CASOS

18. Estructura del informe: Memoria

La memoria es la parte central del informe forense donde tiene lugar el desarrollo de los
antecedentes, metodologías y conclusiones del análisis realizado. Constituye la esencia del dictamen
pericial informático que puede ser solicitado en una causa judicial.

A su vez, la memoria está compuesta por los siguientes apartados:

• Hoja de identificación. En esta primera sección se indica el título del informe y el código
identificativo. También se indican los datos (personales y profesionales) del solicitante del
informe, así como los datos correspondientes al analista que ha realizado el análisis.
• Índice de la memoria. Referencia indexada a todos los documentos y apartados de la memoria.
• Objeto del informe pericial. Se debe detallar cual es el objetivo del análisis forense realizado.
• Alcance del informe. Identificación del ámbito, entorno y alcance del análisis forense.
• Antecedentes al estudio. Para que un tercero pueda comprender la totalidad de las tareas
realizadas durante el análisis forense, se deben incluir los estudios y los detalles teóricos/técnicos
para facilitar la comprensión del dictamen.
• Normas y referencias. En esta sección se indican las normativas, estándares y leyes que han
influido en el dictamen, así como cualquier otro tipo de referencias documentales que se
consideren de interés.
• Definiciones y abreviaturas. Se corresponde con los significados o definiciones de los términos
empleados en el informe.
• Requisitos del informe pericial. Se incluyen las condiciones que han afectado al análisis forense
derivadas de legislaciones o normativas aplicables, así como los requisitos establecidos por el
solicitante del dictamen.
• Análisis de soluciones. Se indica el detalle de las posibles alternativas analizadas y el proceso que
ha tenido lugar para elegir la alternativa óptima que cumple con el objetivo del dictamen.
• Resultados finales del dictamen. En este apartado final de la memoria se describen de forma
resumida todo el proceso de análisis forense para finalizar con la enumeración de las conclusiones
justificadas en función del análisis realizado.
29
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 30
ANÁLISIS DE CASOS

19. Estructura del informe: Anexos

La parte final del informe forense está constituida por los anexos.
El anexo está compuesto por todos los documentos que son referenciados en la memoria y que
permiten mejorar la comprensión del dictamen.

Generalmente, se pueden encontrar al menos dos documentos en los anexos:

• Documentación previa. Se incluyen todos los documentos que han definido algún tipo de
requisito previo a la realización del análisis forense, como normativas, atestados policiales,
condiciones del entorno, etc.
• Intervención y estudio de evidencias digitales. Este anexo se asocia con la descripción detallada
del proceso de adquisición, preservación y análisis de las evidencias digitales durante el proceso
de análisis forense.
Tampoco debemos olvidar incorporar los registros de la cadena de custodia de todas las
evidencias adquiridas.

Fig. 4. Proceso forense

20. Herramientas forenses

Los análisis forenses digitales necesitan tecnología para poder hacer frente al estudio de los casos.
Para ello, un analista se debe apoyar en las diversas herramientas existentes en el mercado que le
permitan llevar a cabo el análisis.

Un analista necesita conocer las principales herramientas que le pueden ser útiles en cada situación.
30

Del buen uso de ellas va a depender en gran medida la resolución de un caso forense digital.
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 31
ANÁLISIS DE CASOS

21. Recuperación de ficheros

Una de las tareas más comunes en los análisis forenses es la detección e identificación de ficheros
eliminados del sistema.
Existen multitud de herramientas para realizar estas tareas pero vamos a destacar las siguientes.

21.1. Foremost y Scalpel

Foremost es una herramienta open source que fue desarrollada por la Oficina de Investigaciones
Especiales de las Fuerzas Aéreas estadounidenses. Se utiliza para recuperar ficheros de sistemas de
archivos a través de técnicas de “file carving”.

Scalpel fue desarrollada a partir de Foremost mejorando su eficiencia, también es open source y
funciona bajo sistemas GNU/Linux y Mac. Scalpel permite recuperar ficheros eliminados en multitud
de sistemas de archivos (FAT, NTFS, EXT, HFS+, etc.), también mediante técnicas de “file carving”.

Foremost tiene una limitación, y es que, no puede reconstruir un fichero de más de 2GB, aunque
tampoco es muy común encontrarse con este tipo de archivos, sobre todo si lo que estamos buscando
son documentos ofimáticos.

21.2. Recuva
Recuva es un software de recuperación de ficheros eliminados que trabaja sobre sistemas operativos
Microsoft Windows. Es capaz de identificar ficheros en sectores del disco que han sido marcados
como espacio libre, recuperándolos rápidamente.
También tiene capacidad de buscar ficheros a través de file carving, lo que la convierte en una
herramienta muy versátil y empleada en análisis forense.
Su licencia es gratuita, pero con limitaciones. Existen otras versiones de pago que amplían su alcance
y características a un precio muy asequible.
31
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 32
ANÁLISIS DE CASOS

Fig. 2. Recuva
32
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 33
ANÁLISIS DE CASOS

22. Análisis de procesos

Cuando hablamos de análisis forense, puede que lo primero que se nos venga a la mente sea el
análisis sobre discos duros y servidores, y en la mayoría de los casos, desconectados y apagados.
Una rama muy importante en la actualidad es el análisis forense enfocado a la gestión de incidentes
y al análisis de malware.
Si necesitamos analizar el comportamiento de un malware o software malicioso, tendremos que
monitorizar muchos puntos del sistema, y uno de los más importantes son los procesos del sistema.
Para ello, podemos contar con ProcMon.

ProcMon es una herramienta de monitorización para Microsoft Windows capaz de identificar en

tiempo real los cambios realizados en el sistema de ficheros, en el registro de Windows y en los
procesos del sistema.

Tiene una capacidad de monitorización muy potente, por lo que es usada ampliamente para resolver
problemas del sistema y para el análisis de malware.
A través de su configuración, es posible definir filtros para simplificar la monitorización ya que, de lo
contrario, el alcance del análisis sería excesivo.

Forma parte de la suite Sysinternals, un clásico de las herramientas de troubleshooting de sistemas

Microsoft Windows.
Recientemente, Microsoft ha desarrollado una herramienta similar para sistemas operativos Linux
denominada de igual forma. Aunque son incompatibles debido a las diferencias de la arquitectura de
estos sistemas, ha sido implementada para lograr una herramienta de iguales características que la
original.
33
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 34
ANÁLISIS DE CASOS

Fig. 3. ProcMon

23. Análisis y recolección de logs

El análisis de los logs es otra de las tareas más importantes en un análisis forense. En ellos podemos
encontrar las causas que ha llevado a una infección con malware del sistema, a un acceso no
autorizado o simplemente, el funcionamiento anómalo de una aplicación o del sistema.

En una organización, lo normal es que los logs se envíen a un sistema centralizado de logs, por lo que
tendremos acceso a todos ellos fácilmente.
El siguiente problema con el que nos toparemos es encontrar las evidencias entre tal cantidad de
logs. Generalmente se utilizan funciones de búsqueda y patrones para agilizar el análisis. Algunos de
estos comandos en entornos Linux son “find” y “grep”.

Si estos logs son reenviados a un SIEM, la tarea de análisis posiblemente sea más sencilla gracias a
las reglas de correlación de eventos que mantienen estos sistemas.

Existen otras alternativas como Elasticsearch, Logstash y Kibana. Esas herramientas en conjunto,
conocida como “ELK”, implementan una plataforma de recolección de eventos, almacenamiento y
visualización:
• Logstash: Es un pipeline de procesamiento de datos del lado de servidor que recoge los eventos
de las fuentes de información configuradas (logs), les aplica un formato definido por el usuario y
34

los envía a un sistema remoto para su explotación posterior.

Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 35
ANÁLISIS DE CASOS

• Elasticsearch: Es un motor de búsqueda open source y distribuido basado en json. Dispone de una
API RESTful para poder interactuar con él a través de consola o integrarlo con otras herramientas.
Sus características principales son su escalabilidad, velocidad y capacidad analítica.
• Kibana: Es la herramienta de visualización y gestión de los datos indexados en Elasticsearch. Es
capaz de mostrar histogramas en tiempo real y multitud de tipos de gráficos. A través de Kibana,
también se realiza la configuración y gestión de los clusters de datos de Elasticsearch.

Comentado [FMJM6]: https://openwebinars.net/blo

g/que-es-elk-elasticsearch-logstash-y-kibana/

Fig. 5. ELK

Otra plataforma con características similares y que actualmente está muy extendida es Splunk. Esta
herramienta está más enfocada a ciberseguridad, siendo utilizada comúnmente como un SIEM.

24. Análisis forense de red

El análisis forense de red monitoriza los paquetes y estudia la actividad del tráfico de la red para
detectar posibles intrusiones o presencia de malware en los sistemas conectados a la red.
Este análisis forense es llevado a cabo por herramientas especializadas como son los sniffers de red,
los cuales pueden capturar todo el tráfico de la red, o bien, mediante TAP (Terminal Access Point),
que son dispositivos que reciben una copia del tráfico original para ser analizado.

Comentado [FMJM7]: https://www.garlandtechnolo

gy.com/hubfs/Current/Products/Product%20image
s/Aggregating/P100-Quarter-Products625x400.png
35
Página

Fig. 6. Network TAP

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 36
ANÁLISIS DE CASOS

El análisis forense de red se utiliza principalmente en la gestión de incidentes con malware, pero
también es un método de detección y resolución de errores de los sistemas y aplicaciones que se
conectan a la red.

Comentado [FMJM8]: https://www.manageengine.c

om/latam/netflow/images/network-forensics.png

Fig. 7. Análisis forense de red

25. Wireshark
Wireshark es un analizador de protocolos de red que permite analizar los paquetes capturados en
un tramo de la red.
Es una herramienta muy potente disponible para sistemas Windows, Linux y Mac.

Tiene una capacidad analítica muy alta y reglas de filtrado para realizar búsquedas sobre cualquier
campo de un paquete de red, como por ejemplo, la IP, puerto o protocolo. Activando el modo
promiscuo de una interfaz de red, captura los paquetes que se transmiten en ese segmento de la red.

Fig. 8. Wireshark
36
Página

25.1. NetworkMiner
ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM
 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 37
ANÁLISIS DE CASOS

NetworkMiner es otro sniffer de paquetes de red disponible para Windows. Esta herramienta tiene
la capacidad de filtrar y mostrar información valiosa enviada en los paquetes de la red.
De una forma sencilla, analiza el tráfico capturado y es capaz de mostrar las imágenes transmitidas,
mensajes de chats y emails, credenciales, palabras clave, consultas DNS, etc.
Sin duda, es una de las herramientas que debemos tener a nuestro alcance.

26. Análisis de imágenes

El análisis forense en imágenes digitales es otra área muy estudiada en forensia que tiene como
objetivo determinar el origen y autenticidad de una fotografía, para poder establecer una relación
entre un individuo con un dispositivo, lugar o evento.

La proliferación de dispositivos de captura digital y edición de imágenes ha provocado que cada vez
existan técnicas más sofisticadas para la manipulación de estas imágenes digitales.
Por ello, el análisis forense en imágenes digitales debe tener en cuenta los siguientes aspectos para
considerar una imagen como un indicio o evidencia:
• Origen de la imagen: ¿Quién?, ¿cuándo?, ¿dónde? y ¿por qué?
• Dispositivo con el cual se capturó la imagen: Podría ser una cámara digital, un smartphone,
tablet, etc.
• Características de la imagen: Propiedades como la calidad de la imagen, la resolución, tamaño,
formato, etc.
• Integridad de la imagen: Detección de imágenes manipuladas o editadas.
• Información oculta en imágenes: La esteganografía consiste en el estudio y aplicación de técnicas
que permiten ocultar mensajes en los datos de una fotografía utilizando un canal encubierto que
puede ser empleado para exfiltrar información o transmitir mensajes ocultos.

Para poder obtener información sobre una imagen digital, podemos hacer uso de herramientas como
las siguientes:

• Foca: Es una herramienta open source especializada en la extracción, análisis y edición de

metadatos de cualquier tipo de fichero.
37

• ExifTool: Es otra herramienta capaz de leer y manipular los metadatos de ficheros, imágenes,
Página

documentos, etc. Es muy simple y rápida, además de portable a cualquier sistema.

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM

 Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 38
ANÁLISIS DE CASOS

• Forensically: Es una herramienta online para el análisis de imágenes. Está compuesta por varias
herramientas que permiten realizar un análisis eficaz y rápido de una imagen digital.

Fig. 11. Foca

38
Página

ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM