FUNDACIÓN UNIVERSITARIA DEL AREA ANDINA

INFORMÁTICA FORENSE 1

Actividad Evaluativa Eje 1:

Describa la escena del crimen

Carlos Andrés Arbeláez Salazar

Fundación Universitaria Área Andina

Bogotá

Febrero de 2023
Situación propuesta
La empresa Pepito Pérez, el 18 de noviembre 2018, fue objeto de un ataque de Denegación de
servicios, ocasionando, que su servidor principal quedará fuera de línea, al llegar el gerente y
sus empleados encontraron todo aparentemente normal, solo vieron algo curioso, el
computador del gerente está encendido, y el gerente recordaba que lo había apagado, además
habían unos papeles con letra que no era de él en su escritorio, cuando fueron a revisar el
servidor, este estaba completamente inaccesible, preocupados por lo ocurrido deciden llamar
a un investigador forense.
Desarrollo del problema
En el anterior caso hay varios puntos a recalcar debido a la situación que se comenta. Lo
primero es recalcar que la metodología para poder intervenir en el caso será la “metodología
informática forense” la cual será usada con el fin de tener una investigación que genere
buenos resultados. Es por ello que desglosamos cada uno de los pasos hasta llegar a una
solución de la problemática anterior teniendo en cuenta las fases las cuales son: contacto
inicial, evaluación de la situación, adquisición de la evidenciaExpexx, manejo de la
evidencia, análisis de la evidencia y diseño y presentación del reporte.
Esta metodología forense busca la manera de evaluar, obtener y analizar las
evidencias de una forma segura, fiable y eficaz mediante métodos y profesionales que
salvaguarden la integridad de las pruebas, así como de la cadena de custodia y permitan
establecer un diagnóstico imparcial de las evidencias halladas. Las conclusiones quedarán
plasmadas en el denominado “informe forense” y servirá como complemento para la toma de
acciones judiciales respecto al incidente
En referencia al contacto inicial se centra en la llamada por parte de la empresa al
ataque cibernético, ya que se comenta que el servidor principal quedó fuera de línea debido a
un ataque de denegación de servicios, asimismo el gerente recordaba haber apagado su
computador, pero al llegar se fija que está encendido. Es por ello que nosotros como
profesionales asumimos el trabajo y nos acercamos a la escena del crimen.
El segundo paso tenemos en que estamos en el lugar y debemos hacer una evaluación
de la situación. Como se mencionó anteriormente uno de los primeros detalles a destacar es el
computador que se encuentra encendido aún cuando el gerente sabe que este fue apagado el
día anterior, es por ello que en este caso es necesario hacer un análisis directo del equipo y
asimismo tomar datos fotográficos del espacio en donde se encuentra. Como el equipo se
encuentra encendido es posible que los profesionales puedan: identificar el sistema operativo,
sus características técnicas, la dirección IP y MAC address; a partir de esto se ubican las
evidencias e indicios del sistema mostrando si el equipo se encuentra comprometido o
vulnerado, luego de ello se resguarda el equipo.
El tercer paso es la adquisición de las evidencias en donde luego de haber hecho el
análisis del espacio en este caso del computador u objetos adicionales que permitan ofrecer
un plano más detallado del ataque. Seguido a esto lo que se hace es asegurar y manejar la
evidencia en donde se realiza lo denominado cadena de custodia en donde se lleva un registro
detallado, controlado y confiable de las personas que han adquirido, realizado pruebas,
manipulado y almacenado evidencias durante el proceso de investigación.
Asimismo, se realiza la obtención de los datos en medios digitales que fueron
sometidos al procedimiento de clonación, nosotros los investigadores trabajamos con una
copia de los originales realizado el duplicado de los archivos del ordenador, esto no consiste
en un solo copiado de archivos (backup) es una imagen completa del disco duro de la
víctima, incluyendo el espacio libre que no ha sido utilizado por el sistema de archivos,
archivos borrados, archivos perdidos después de ser formateado.
Esta imagen incluye particiones, espacios del disco que no se hayan utilizado, tabla de
particiones, sector de arranque, zonas reservadas que son poco accesibles, utilizadas por el
fabricante para incluir información especial o disminuir almacenamiento de un dispositivo.
Para tener una imagen clonada de bajo nivel es necesario que el disco duro a investigar se
tenga el acceso de modo lectura, esto para evitar cualquier operación de escritura del disco,
para realizar estos procedimientos se utilizan herramientas tipo hardware y software que
soportan todo tipo de dispositivos de almacenamiento.
El cuarto paso se hace un análisis de la evidencia y los datos que se obtuvieron con
anterioridad. Esta es una de las actividades que es más crítica del análisis forense, por lo cual
es la que tiene mucha atención por parte de nosotros que realizamos el análisis, esto se debe a
que si al realizarse mal, la investigación y todo el análisis no será válido, porque la
información saldría alterada, es decir, la información sustraída no será válida como del
origen. Ya detectado el problema de seguridad y lo que ha afectado tener en cuenta la
decisión más difícil para el analista, apagar el equipo o no apagarlo, difícil, porque al
apagarlo pueden tener evidencias que están en la memoria volátil, usuarios conectados, ver
los procesos en ejecución o las conexiones existentes. En esta ocasión como el análisis es
directo es preferible tenerlo encendido hasta concluir con la búsqueda necesaria.
Por último en la presentación del informe daremos cuenta de toda la información
recolectada en el proceso dejando claridad sobre el procedimiento y los resultados
encontrados. Este presentara como prueba de la investigación remitido a la dirección de la
organización o empresa, al personal encargado de la seguridad informática, también a un
abogado especializado en delitos informáticos quién preparará el caso, este informe también
irá a los organismos de seguridad en delitos informáticos del gobierno. Así, el informe debe
contener: antecedentes, evidencias digitales, evidencias, análisis y tratamiento y resultados y
conclusiones.