Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 1
ANÁLISIS DE CASOS
PARTE 2
1
Página
ÍNDICE
Contenido
1. Introducción a las infraestructuras Cloud ................................................................................................................. 5
1.3.Nubes híbridas........................................................................................................................................................................................ 7
1.4.Multiclouds.................................................................................................................................................................................................. 7
a) Accesebilidad ......................................................................................................................................................................................... 10
13.1..Botnet Mirai………………………………………………………………………………………………………………………………………………………………………………………………………22
21.2. Recuva……………………………………………………………………………………………………………………………………………………………………………………………………………………..31
25.1.NetworkMiner………………………………………………………………………………………………………………………………………………………………………………………………….36
Con el desarrollo del concepto de cloud o nube, aparecen nuevas arquitecturas y plataformas
tecnológicas que ofrecen unas prestaciones muy beneficiosas para el mercado actual.
Aunque la definición hoy en día se considera poco precisa debido a la evolución que han sufrido los
servicios en la cloud, siguen compartiendo una serie de características:
Los principales motivos por los que las organizaciones están interesadas en migrar sus servicios a la
nube son:
• Flexibilidad.
• Fácil y rápida recuperación ante desastres.
• Actualizaciones automáticas de software.
• Facilitan la movilidad geográfica de los clientes.
• Herramientas colaborativas.
• Seguridad y cumplimiento normativo.
• Cuidado del medio ambiente.
• Ahorro económico.
6
Página
3. Tipos de cloud
Actualmente los tipos de nubes se han diversificado y han dado lugar a cuatro tipos diferenciables en
función de su ubicación, propiedad y relación entre ellas.
1.4. Multiclouds
Una multicloud consiste en la combinación de dos o más nubes del mismo tipo (privada o pública).
De esta forma es posible combinar servicios en diferentes nubes, por ejemplo, cuando nuestro
proveedor cloud no dispone de una aplicación concreta en su catálogo de servicios.
También podemos utilizar multicloud como sistema de alta disponibilidad o redundante.
7
Página
Los servicios de cloud computing son muy variados y abarcan prácticamente toda una pila tecnológica
de servicios, desde la propia infraestructura hardware y de comunicaciones, hasta sistemas
operativos y aplicaciones front-end para los clientes.
Existen tres modelos de servicios aceptados actualmente: IaaS, PaaS y SaaS .
Los riesgos asociados a un entorno cloud son diversos, pueden ir desde cumplimientos normativos,
leyes, protección y accesibilidad de la información, etc. A continuación describiremos algunos de
estos riesgos.
• Derechos y obligaciones. Los datos almacenados en los recursos del prestatario (cloud) pueden
ser muy variados: fotos, documentos, audios, videos, datos personales, etc. En España, hay que
tener en cuenta tres derechos y obligaciones sobre los datos almacenados:
o Los derechos de autor: Están descritos en la Ley de la propiedad intelectual.
o El derecho a la vida privada: Recogido en el artículo 18.1 de la Constitución Española.
Cualquiera puede oponerse a la difusión de sus datos e información personal.
o Ilegalidad de documentos: Los contenidos pedófilos/pornográficos y aquellos que inciten
a cualquier tipo de odio son ilegales y no pueden almacenarse en un proveedor de
servicios.
• Responsable de los datos. Si un usuario o cliente almacena datos que incumplen las leyes en un
proveedor de servicios, en el artículo 16.1.a de la ley 34/2002, de 11 de julio, de servicios de la
sociedad de la información y de comercio electrónico, se específica que el proveedor no es el
responsable de los datos allí almacenados, siempre que no tenga conocimiento de dicha
ilegalidad. Pero, sí que tiene la obligación de poder ser capaz de verificar los datos si se ha emitido
una queja o denuncia.
• Obligación de información del proveedor. Dado que los clientes y usuarios pueden llegar a
9
Página
desconocer las leyes y normativas vigentes, el proveedor tiene la obligación de informar sobre la
legislación y las acciones ilegales. De esta forma, se recoge en la misma ley de servicios de la
información y de comercio electrónico.
• Seguridad de los datos. El proveedor de servicios, como responsable del fichero de los datos
almacenados, debe contar con los medios necesarios para garantizar la integridad,
confidencialidad y la disponibilidad de los mismos. Se recoge en el articulo 9.1 de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Uno de los aspectos más importantes durante la operación con servicios cloud es mantener la
confidencialidad de los datos almacenados. Los datos deben cifrarse mediante un sistema de
criptografía fuerte (criptografía asimétrica) para evitar que su contenido se vea comprometido en el
caso de que surja algún problema en la seguridad del proveedor cloud.
a) Accesebilidad
La accesibilidad a los datos almacenados en la cloud representa un problema para cualquier cliente.
Las aplicaciones o plataformas de una cloud se implementan sobre arquitecturas tecnológicas
compartidas por multitud de usuarios y clientes. Por tanto, deben existir medidas que restrinjan y
aíslen los datos entre clientes.
Además, el propio proveedor tampoco debería tener acceso al contenido de dichos datos, por lo que
debemos cifrar la información almacenada, tal y como se ha comentado en el punto anterior.
Un proveedor de servicios cloud debe garantizar la disponibilidad de los datos de los clientes en todo
momento.
Es un problema que un cliente pierda el acceso a sus datos, ya que puede afectar a su operación y
acarrear graves problemas económicos.
10
Para minimizar el riesgo, se firman contratos de SLA (Service Level Agreement). En estos contratos se
Página
establecen las condiciones de disponibilidad del servicio, así como otros factores como la calidad
La ubicación de los datos almacenados influye en cómo puede llegar a ser su gestión. Cada país tiene
una legislación diferente y puede tener una importante repercusión, por ejemplo, los proveedores
de cloud, podrían tener acceso por ley a los datos almacenados, algo que no se estaría dispuesto a
permitir en otro país.
En España, los proveedores de servicios cloud deben ser capaces de acceder a los datos almacenados
de sus clientes en caso de una investigación (artículos 11 y 36 de la LSSI-CE). Aun así, dentro de países
de la Unión Europea existe cierta colaboración en investigaciones judiciales.
En el caso de que tenga lugar un incidente en el proveedor cloud y el acceso o la integridad de los
datos se vea afectada, el cliente querrá estar cubierto ante este tipo de circunstancias. Para ello, se
complementan los SLAs con los tiempos de recuperación (RTO) y la cantidad de datos perdidos
tolerables (RPO). Estos datos también deben quedar reflejados en el contrato con el proveedor, ya
que pueden acarrear pérdidas importantes.
a) Seguridad lógica
Con la evolución de los servicios cloud, existen algunos aspectos a considerar ya que pueden ser
orígenes de vulnerabilidades que pueden poner en riesgo la seguridad en la nube.
• Virtualización: Actualmente es el servicio más utilizado por sus características de adaptación,
escalabilidad y reducción de costes. Cada plataforma de virtualización conlleva sus propias
medidas de seguridad y configuraciones específicas. Los hipervisores más comunes son KVM,
11
VMware ESX, y Microsoft Hyper-V. Deben controlar que un cliente pueda acceder al hipervisor
Página
desde una máquina virtual, a través de alguna vulnerabilidad, además, una denegación de servicio
en una máquina virtual no debe afectar al resto de máquinas virtuales.
• Hermetismo lógico: Las zonas de seguridad deben permitir la elasticidad de los recursos de las
máquinas virtuales pero manteniendo el aislamiento entre ellas. Se pueden emplear firewalls
virtuales en las propias maquinas o en otras nuevas, gestionadas por el cliente, o incluso en el
propio hipervisor. A nivel de comunicaciones, el uso de VLAN (Virtual Local Area Network) nos
permitirá aislar el tráfico de red de dichas máquinas.
• Acceso a los recursos: La implementación de mecanismos de autenticación multifactor es
primordial para el acceso a los recursos. Además, un sistema basado en roles permitirá gestionar
el acceso autorizado a los recursos.
• Auditorías: Deben realizarse auditorías de seguridad para prevenir la aparición de
vulnerabilidades y minimizar el riesgo en caso de un incidente. Siempre que sea posible, deben
realizarse sobre toda la arquitectura cloud, hipervisores, aplicaciones, código fuente, etc.
b) Seguridad física
Los servicios cloud también deben protegerse ante incidentes y catástrofes físicas.
• Control de acceso: Hay que establecer un sistema de control de acceso robusto que identifique y
autorice a los técnicos que entran y salen de los centros de datos. Un acceso no autorizado podría
derivar en un sabotaje de la infraestructura.
• Catástrofes naturales: Los centros de datos deben contar con medidas para luchar contra este
tipo de catástrofes. Por ejemplo, empleando alarmas de incendios, controles de humedad,
ventilación, sistemas de seguridad eléctrica, etc.
• Redundancia: Una de las formas más triviales de mediar contra problemas hardware es la
redundancia. En un centro de datos todos los componentes de la arquitectura deben estar
duplicados, de esta forma, si falla alguno de ellos, el sistema o la arquitectura podrá seguir
funcionando. Además, también es muy común que los propios centros de datos se encuentren
replicados en distintas ubicaciones geográficas para asegurar que el servicio no se ve afectado
ante una catástrofe.
más actores, como son los proveedores de servicios cloud (CSP) y los recursos compartidos entre
Página
clientes.
Las fases de adquisición y reporting son las fases de la metodología forense que se verán más
afectadas, ya que, las nuevas tecnologías y procedimientos a aplicar en la nube para la adquisición
de evidencias deberán ser específicos para los entornos cloud.
Se deben definir unos requisitos mínimos a cumplir para poder realizar un análisis forense en
entornos cloud:
• Planificación. La configuración de los recursos de la cloud y los procedimientos deben
contemplar y permitir la gestión de incidentes y los análisis forenses necesarios para resolver
dichos incidentes.
• Conocimiento del entorno. Es fundamental que se disponga de documentación sobre el
despliegue y funcionamiento del entorno. Además, comprender la arquitectura de estos recursos
es crítica para poder realizar la gestión de incidentes y análisis forenses, por lo que los técnicos
deben tener una formación acorde a las exigencias de la nube.
• Cumplimiento legal. En un entorno cloud, el cumplimiento legal y normativo es algo más
complejo debido a la distribución geográfica, responsabilidad de los datos y los recursos
compartidos. Las legislaciones deben ser analizadas para evitar problemas posteriores y adaptar
el entorno para el cumplimiento legal necesario, como pueden ser, en caso de España, la RGPD y
la directiva europea NIS (que detallaremos en el módulo de Normativa en Ciberseguridad).
• Rigurosidad. Es importante implementar una metodología que permita mantener la rigurosidad
en cada una de las fases de la que está compuesta. En los entornos cloud, existen fases algo más
complejas que requieren ser escrupulosos en su ejecución, como pueden ser las fases iniciales de
preparación y adquisición. Además, mantener la cadena de custodia en estos entornos requiere
un mayor esfuerzo.
• Eficiencia. Siempre que sea posible, debemos simplificar el análisis forense. Por ello, y dado que
los recursos humanos y técnicos suelen ser limitados, debemos adaptarlos para obtener los
14
mejores resultados posibles. En la nube, el acceso a los datos no es tan trivial durante un forense,
las leyes, disponibilidad de la información, distribución geográfica, etc., dificulta poder realizar un
Página
análisis exhaustivo, por lo que hay que focalizar el esfuerzo en los recursos disponibles.
ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 15
ANÁLISIS DE CASOS
A la hora de definir una estrategia de análisis forense en entornos cloud, existen unas áreas o
dominios que deben tenerse en cuenta y sobre las que aplican los requisitos descritos anteriormente:
• Dominio regulatorio. A la hora de realizar un análisis forense debemos tener en cuenta el marco
legal y normativo y que debemos respetar durante todo el proceso.
Dependiendo del proveedor de servicios y el alojamiento de los recursos, estos pueden verse
afectados por leyes y normativas que impidan el acceso a los datos. En muchas ocasiones, el
principal inconveniente es la poca o nula colaboración por parte del proveedor de servicios de la
cloud.
Además, también puede existir un marco legal que afecte a los clientes.
En ocasiones, también puede darse el caso de que existan acuerdos de SLAs que dificulten la
adquisición de evidencias.
• Dominio organizativo. Para poder realizar un análisis forense en cloud, los recursos económicos,
humanos y técnicos deben garantizarse durante todo el proceso. Por ello, es necesario asignar
los roles y responsabilidades para que todos puedan trabajar sin bloqueos, así como la definición
de procedimientos y metodologías a emplear.
Todas las partes involucradas en el análisis forense en cloud, como pueden ser, el proveedor de
servicios, el cliente y los comités de dirección, deben ser conscientes del trabajo a realizar y
deben contribuir para que el análisis forense pueda finalizar sin dificultades minimizando
cualquier tipo de riesgo técnico o legal.
• Dominio técnico. Los niveles de servicio (IaaS, PaaS, SaaS) van a influir a la hora de realizar un
análisis forense. Dependiendo de qué tipo de servicio se haya implementado, permitirá al analista
adquirir un número mayor o menor de evidencias, así como la limitación de poder utilizar
herramientas forenses específicas que tengan que ser instaladas y ejecutadas en la
infraestructura cloud del cliente.
De la misma forma, el tipo de cloud escogido también será crucial para conseguir acceso a los
datos a analizar. No es lo mismo trabajar sobre una cloud privada que sobre una cloud híbrida y
multicliente, donde los recursos compartidos entre clientes pueden verse afectados por alguna
normativa que impida el acceso a los datos.
Por último, las características de las aplicaciones y sistemas operativos sobre los que se realizará
15
el forense requerirán unos conocimientos específicos sobre ellos para poder extraer las
Página
evidencias pertinentes.
Las fases de un análisis forense en cloud se pueden comparar con las de un análisis tradicional,
aunque ciertas fases podrían ser más complejas o específicas dada la naturaleza de la nube. A
continuación, describiremos las fases de un análisis forense en cloud.
En entornos cloud, la capacidad para instalar y utilizar herramientas forenses de terceros no siempre
será posible, dependerá del tipo de cloud, servicio y aspectos legales con los que nos encontremos.
Debido a esto, es primordial que el entorno cloud esté preparado para que puedan realizarse análisis
forenses, adecuando las herramientas y configuraciones necesarias para que cuando tenga lugar un
incidente, se pueda actuar con rapidez y eficacia.
Teniendo en cuenta los dominios y requisitos de una estrategia de seguridad, debemos tener
presentes los siguientes puntos a la hora de adaptar la cloud para el análisis forense:
En esta fase tiene lugar la adquisición de las evidencias reconocidas durante la identificación.
En un nivel de servicio IaaS, la adquisición de las evidencias por parte del cliente/analista resulta más
trivial y puede seguir la metodología de un análisis forense tradicional. En este nivel de servicio, el
cliente tiene prácticamente todo el control sobre su infraestructura y los datos almacenados, por lo
que la adquisición tan solo dependerá de las herramientas forenses específicas para entornos cloud,
si es que son necesarias.
En cambio, en los servicios de tipo PaaS y SaaS, probablemente necesitemos que el proveedor de
servicios colabore para poder extraer las evidencias ya que, estos modelos implementan una capa de
abstracción que dificulta la recopilación de las mismas.
Durante la adquisición, siempre debemos tener en cuenta el orden de volatilidad de las evidencias,
incluyendo una extensión de los recursos en la nube, como pueden ser los metadatos del cliente
almacenados en el proveedor de servicios en la nube.
Para extraer las evidencias en la nube, podemos hacer uso de las herramientas específicas para cloud
y otras que permitan realizar la adquisición de forma remota conectándose directamente al recurso,
o bien, desplegando algún agente.
De cualquier forma, durante la adquisición debe mantenerse la cadena de custodia (integridad y
marcas de tiempo) para conservar la validez de las evidencias ante un proceso judicial.
17
Página
La preservación de las evidencias es fundamental para mantener la validez de las pruebas, así como
la disponibilidad de las mismas durante el análisis de la información.
Siempre hay que mantener la cadena de custodia actualizada y controlar el acceso a las evidencias
mediante procesos de identificación, autenticación y autorización. La asignación de roles y
responsabilidades determinará quién debe tener acceso a las evidencias.
Además, el acceso a los recursos de la nube se realiza a través de conexiones remotas, así que,
siempre que sea posible, las evidencias y copias de seguridad adquiridas deberían almacenarse en
local y no en la nube.
También es necesario realizar las copias de seguridad a partir de las evidencias originales y
almacenarlas en ubicaciones distintas al original, así obtenemos una protección ante una catástrofe,
robo o perdida.
En la fase de análisis tiene lugar la investigación de los hechos para esclarecer el caso forense. Hoy
en día, y teniendo en cuenta los servicios cloud, cada vez hay más fuentes a analizar en busca de
evidencias por lo que el número de las mismas se ha incrementado notablemente.
La nube ofrece la capacidad de realizar el análisis en remoto, gracias a los snaphsots de las maquinas
afectadas por el incidente y a la facilidad de desplegar una máquina virtual con herramientas forenses
en muy poco tiempo, lo que permite realizar un análisis forense tradicional en la mayoría de las
ocasiones.
Sin embargo, también puede ser necesario descargar las evidencias y tratarlas localmente, sobre todo
si van a ser requeridas en un proceso judicial.
18
Algunas nubes están comenzando a implementar FaaS (Forensics as a Service) o DFaaS (Digital
Página
Forensics as a Service), estos servicios ofrecen un entorno securizado en la nube con herramientas
ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 19
ANÁLISIS DE CASOS
Fig. 5. DFaaS
• Cellebrite UFED Cloud Analyzer. Es una herramienta comercial, puede que la más conocida,
que permite adquirir y analizar las evidencias recopiladas en la nube. Puede obtener
evidencias de infinidad de servicios, como redes sociales, mensajería instantánea, sistemas
de almacenamiento, etc.
• Cloud Trail. Esta herramienta forma parte de la cloud de AWS. Permite realizar un
19
• FROST. Es una solución de adquisición forense que trabaja a nivel IaaS de OpenStack. Permite
la adquisición de discos virtuales, logs de API y logs de firewalls de las máquinas virtuales,
entre otros.
• OWADE. Es una herramienta forense que permite adquirir los datos de navegación e historial
de un sistema operativo Windows, así como de las aplicaciones de mensajería y Wi-Fi.
Actualmente su desarrollo está descontinuado.
20
Página
Fig. 1. IoT
Aunque puede parecer raro, también existen ataques contra dispositivos IoT y malware
específico para ellos. Algunos de los incidentes más conocidos son los detallados a continuación.
Esta botnet fue detectada en 2016 y su objetivo eran los dispositivos IoT, principalmente routers
domésticos y cámaras IP de videovigilancia.
Para hacerse con el control de los dispositivos IoT, simplemente rastreaba la red en busca de
Página
dispositivos se venden con credenciales muy básicas y compartidas, como por ejemplo,
“admin/admin”.
Es otra botnet que en 2018 impactó sobre los routers y NAS de multitud de fabricantes. El grupo
de hackers ruso Fancy Bear fue quien la desarrolló.
Este malware también tenía la capacidad de realizar ataques DDoS contra un tercero. Además,
descargaba un módulo en la maquina infectada con el que podía romper las comunicaciones
seguras entre el usuario y un sitio remoto (man in the middle).
Este ataque tenía un alto impacto en la confidencialidad, ya que le permitía espiar y extraer
información sensible de los usuarios, sin nombrar la afectación que podía tener el robo de
información en el caso de personas influyentes o de organizaciones de interés, como la industria
militar.
Hoy en día, aún siguen existiendo routers infectados y vulnerables a esta botnet, aunque el FBI
ya ha conseguido tomar el control de los servidores que la sostienen para desarticularla.
23
Página
El análisis forense en IoT irá en función de cada tipo de dispositivo o firmware. En muchas
ocasiones será muy complicado realizar un forense e incluso, habrá que emplear técnicas
hardware de bajo nivel para poder obtener algo de información. Veamos algunos ejemplos a
continuación.
Los drones tienen una memoria interna operando sobre un sistema operativo Linux en la mayoría de
los casos, donde se almacena información sobre zonas de exclusión aérea, rutas y coordenadas.
También suelen disponer de una tarjeta externa extraíble tipo SD a la que podremos acceder
directamente o desmontando alguna carcasa del dron y así llegar a los datos almacenados, como
videos o fotografías en sí, o a los metadatos que aportan éstas (que serán útiles para obtener datos
de posicionamiento, fechas de evidencias, horarios,…).
En la mayoría de los casos, podremos acceder a estas memorias a través de una conexión USB, lo
que facilita la adquisición de evidencias para un análisis forense.
En el caso de aquellos modelos con mando, también es deseable poder acceder a él. Igualmente
ocurre con el móvil asociado al dron, pero en este caso, basta con realizar un análisis forense móvil
tal y como ya conocemos.
24
Uno de los dispositivos más IoT más comercializados son los enchufes inteligentes. Estos tipos de
enchufes se conectan a la red y se pueden administrar de forma remota.
Por ejemplo, podemos realizar las siguientes operaciones desde nuestro teléfono móvil:
• Encender/Apagar el dispositivo conectado al enchufe.
• Acceder y operar con el enchufe desde el móvil, Amazon Alexa, Google Assistant, etc.
• Programar horarios de encendido/apagado.
Uno de los principales fabricantes de estos tipos de elementos es “Meross”, que está especializado
en domótica. Si tenemos en cuenta uno de sus dispositivos, por ejemplo, el enchufe “Smart Plug”,
un análisis forense estaría enfocado a realizar la adquisición y análisis teniendo en cuenta sus
características particulares (como hemos adelantado, cada forense en IoT dependerá de las
particularidades de cada dispositivo)
Para operar con “Smart Plug”, necesitaremos instalar su aplicación en nuestro dispositivo móvil, en
este caso, tendremos que realizar un forense al móvil y a la aplicación.
Si nos centramos en el propio dispositivo, este tendrá un direccionamiento IP asignado para poder
conectarse a la red e Internet.
Podemos lanzar una herramienta de análisis de puertos sobre la IP del dispositivo para descubrir los
servicios que está ejecutando. El “Smart Plug” dispone de un servidor web y un telnet.
Por ejemplo, para obtener un informe con visado colegial de CPTIA (Colegio Profesional de Ingenieros
Página
Técnicos en Informática de Andalucía), se deben seguir las indicaciones definidas en la norma UNE
1570001 (Criterios generales para la elaboración formal de los documentos que constituyen un
proyecto técnico).
Algunos de los estándares que pueden ser utilizados en la redacción de análisis forenses y periciales
son:
Como hemos comentado, un informe puede estar condicionado por un estándar UNE o por cualquier
otra norma, en este caso, detallaremos la estructura para un informe basado en el estándar UNE
157001 (Criterios generales para la elaboración de proyectos) para proyectos técnicos, como es el
caso de un análisis forense digital.
27
Teniendo en cuenta el estándar anterior, el informe debe constar de los siguientes documentos:
Página
• Índice general.
ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 28
ANÁLISIS DE CASOS
• Memoria.
• Anexos.
El índice general se utiliza para indexar y enumerar cada uno de los apartados y documentos de los
que consta el informe forense.
No existe una distinción diferente o especial para el índice, pudiéndose emplear un formato donde
se indique el número de página para cada entrada del índice, tal y como estamos acostumbrados a
ver en libros, revistas y otros informes.
La memoria es la parte central del informe forense donde tiene lugar el desarrollo de los
antecedentes, metodologías y conclusiones del análisis realizado. Constituye la esencia del dictamen
pericial informático que puede ser solicitado en una causa judicial.
Un analista necesita conocer las principales herramientas que le pueden ser útiles en cada situación.
30
Del buen uso de ellas va a depender en gran medida la resolución de un caso forense digital.
Página
Scalpel fue desarrollada a partir de Foremost mejorando su eficiencia, también es open source y
funciona bajo sistemas GNU/Linux y Mac. Scalpel permite recuperar ficheros eliminados en multitud
de sistemas de archivos (FAT, NTFS, EXT, HFS+, etc.), también mediante técnicas de “file carving”.
Foremost tiene una limitación, y es que, no puede reconstruir un fichero de más de 2GB, aunque
tampoco es muy común encontrarse con este tipo de archivos, sobre todo si lo que estamos buscando
son documentos ofimáticos.
21.2. Recuva
Recuva es un software de recuperación de ficheros eliminados que trabaja sobre sistemas operativos
Microsoft Windows. Es capaz de identificar ficheros en sectores del disco que han sido marcados
como espacio libre, recuperándolos rápidamente.
También tiene capacidad de buscar ficheros a través de file carving, lo que la convierte en una
herramienta muy versátil y empleada en análisis forense.
Su licencia es gratuita, pero con limitaciones. Existen otras versiones de pago que amplían su alcance
y características a un precio muy asequible.
31
Página
Fig. 2. Recuva
32
Página
Tiene una capacidad de monitorización muy potente, por lo que es usada ampliamente para resolver
problemas del sistema y para el análisis de malware.
A través de su configuración, es posible definir filtros para simplificar la monitorización ya que, de lo
contrario, el alcance del análisis sería excesivo.
Fig. 3. ProcMon
El análisis de los logs es otra de las tareas más importantes en un análisis forense. En ellos podemos
encontrar las causas que ha llevado a una infección con malware del sistema, a un acceso no
autorizado o simplemente, el funcionamiento anómalo de una aplicación o del sistema.
En una organización, lo normal es que los logs se envíen a un sistema centralizado de logs, por lo que
tendremos acceso a todos ellos fácilmente.
El siguiente problema con el que nos toparemos es encontrar las evidencias entre tal cantidad de
logs. Generalmente se utilizan funciones de búsqueda y patrones para agilizar el análisis. Algunos de
estos comandos en entornos Linux son “find” y “grep”.
Si estos logs son reenviados a un SIEM, la tarea de análisis posiblemente sea más sencilla gracias a
las reglas de correlación de eventos que mantienen estos sistemas.
Existen otras alternativas como Elasticsearch, Logstash y Kibana. Esas herramientas en conjunto,
conocida como “ELK”, implementan una plataforma de recolección de eventos, almacenamiento y
visualización:
• Logstash: Es un pipeline de procesamiento de datos del lado de servidor que recoge los eventos
de las fuentes de información configuradas (logs), les aplica un formato definido por el usuario y
34
• Elasticsearch: Es un motor de búsqueda open source y distribuido basado en json. Dispone de una
API RESTful para poder interactuar con él a través de consola o integrarlo con otras herramientas.
Sus características principales son su escalabilidad, velocidad y capacidad analítica.
• Kibana: Es la herramienta de visualización y gestión de los datos indexados en Elasticsearch. Es
capaz de mostrar histogramas en tiempo real y multitud de tipos de gráficos. A través de Kibana,
también se realiza la configuración y gestión de los clusters de datos de Elasticsearch.
Fig. 5. ELK
Otra plataforma con características similares y que actualmente está muy extendida es Splunk. Esta
herramienta está más enfocada a ciberseguridad, siendo utilizada comúnmente como un SIEM.
El análisis forense de red monitoriza los paquetes y estudia la actividad del tráfico de la red para
detectar posibles intrusiones o presencia de malware en los sistemas conectados a la red.
Este análisis forense es llevado a cabo por herramientas especializadas como son los sniffers de red,
los cuales pueden capturar todo el tráfico de la red, o bien, mediante TAP (Terminal Access Point),
que son dispositivos que reciben una copia del tráfico original para ser analizado.
El análisis forense de red se utiliza principalmente en la gestión de incidentes con malware, pero
también es un método de detección y resolución de errores de los sistemas y aplicaciones que se
conectan a la red.
Tiene una capacidad analítica muy alta y reglas de filtrado para realizar búsquedas sobre cualquier
campo de un paquete de red, como por ejemplo, la IP, puerto o protocolo. Activando el modo
promiscuo de una interfaz de red, captura los paquetes que se transmiten en ese segmento de la red.
Fig. 8. Wireshark
36
Página
25.1. NetworkMiner
ANÁLISIS FORENSE PARTE 2 WWW.EICYC.COM
Escuela Internacional de Criminología y Criminalística – EICYC www.eicyc.com
MÁSTER EN PERFILACIÓN CRIMINAL E INTELIGENCIA EMOCIONAL 37
ANÁLISIS DE CASOS
NetworkMiner es otro sniffer de paquetes de red disponible para Windows. Esta herramienta tiene
la capacidad de filtrar y mostrar información valiosa enviada en los paquetes de la red.
De una forma sencilla, analiza el tráfico capturado y es capaz de mostrar las imágenes transmitidas,
mensajes de chats y emails, credenciales, palabras clave, consultas DNS, etc.
Sin duda, es una de las herramientas que debemos tener a nuestro alcance.
El análisis forense en imágenes digitales es otra área muy estudiada en forensia que tiene como
objetivo determinar el origen y autenticidad de una fotografía, para poder establecer una relación
entre un individuo con un dispositivo, lugar o evento.
La proliferación de dispositivos de captura digital y edición de imágenes ha provocado que cada vez
existan técnicas más sofisticadas para la manipulación de estas imágenes digitales.
Por ello, el análisis forense en imágenes digitales debe tener en cuenta los siguientes aspectos para
considerar una imagen como un indicio o evidencia:
• Origen de la imagen: ¿Quién?, ¿cuándo?, ¿dónde? y ¿por qué?
• Dispositivo con el cual se capturó la imagen: Podría ser una cámara digital, un smartphone,
tablet, etc.
• Características de la imagen: Propiedades como la calidad de la imagen, la resolución, tamaño,
formato, etc.
• Integridad de la imagen: Detección de imágenes manipuladas o editadas.
• Información oculta en imágenes: La esteganografía consiste en el estudio y aplicación de técnicas
que permiten ocultar mensajes en los datos de una fotografía utilizando un canal encubierto que
puede ser empleado para exfiltrar información o transmitir mensajes ocultos.
Para poder obtener información sobre una imagen digital, podemos hacer uso de herramientas como
las siguientes:
• ExifTool: Es otra herramienta capaz de leer y manipular los metadatos de ficheros, imágenes,
Página
• Forensically: Es una herramienta online para el análisis de imágenes. Está compuesta por varias
herramientas que permiten realizar un análisis eficaz y rápido de una imagen digital.