Generalidades de la informática forense vulnerabilidades en los sistemas informáticos.
emas informáticos. DOCUMENTAR TODO EL PROCESO: se debe
1.1 FUNDAMENTOS DE INFORMATICA
FORENSE
- Identificación y preservación de la evidencia
digital: Es esencial identificar la evidencia digital y
asegurar que sea preservada correctamente. Esto
puede incluir el aseguramiento de dispositivos,
medios de almacenamiento y redes, así como la
documentación de la cadena de custodia.
- Análisis de la evidencia: Una vez que se ha
preservado la evidencia, es necesario analizarla de
manera forense para determinar su autenticidad,
integridad y relevancia en la investigación.
- Presentación de pruebas: Las pruebas digitales
deben presentarse de manera efectiva y
comprensible ante los tribunales. - Conocimientos
técnicos: Los profesionales de la informática
forense deben tener un amplio conocimiento de las
tecnologías de la información y las
comunicaciones, incluyendo sistemas operativos,
redes, bases de datos y aplicaciones, para poder
identificar, analizar y presentar pruebas digitales
de manera efectiva. - Marco legal y ético: La
informática forense está sujeta a una serie de
leyes, regulaciones y estándares éticos, y es
importante que los profesionales tengan un
conocimiento profundo de ellos.
DEFINICIÓN DE EVIDENCIAS-LAS FASES DEL
INTRUSO-ROLES
Reconocimiento: En esta fase, el atacante
recopila información sobre el objetivo del ataque,
como direcciones IP, nombres de dominio,
sistemas operativos utilizados, servicios en línea,
usuarios y contraseña
Escaneo: Una vez que se ha recopilado la
información sobre el objetivo, el atacante comienza
a escanear la red para identificar vulnerabilidades
y puertos abiertos que pueda explotar.
Ganar acceso: En esta fase, el atacante explota
una vulnerabilidad en el sistema para ganar
acceso y establecer una presencia en el sistema.
Esto puede implicar el uso e troyanos, malware o
ataques de fuerza bruta para obtener acceso.
Mantenimiento del acceso: Una vez que el
atacante ha obtenido acceso al sistema, se
esfuerza por mantener este acceso de manera
persistente, lo que puede implicar la instalación de
herramientas de backdoor o el robo de
credenciales para mantener la entrada en el
sistema. Encubrimiento: En la fase final,
el atacante intenta cubrir sus huellas y eliminar
cualquier rastro de su presencia en el sistema,
como la eliminación de registros o la limpieza de
malware. Investigador forense: es el
profesional que lleva a cabo la investigación
forense, que incluye la recopilación y análisis de
pruebas digitales para determinar si se ha
cometido un delito informático. Abogado: los
abogados pueden estar involucrados en casos que
implican la informática forense, y pueden ser
responsables de representar a sus clientes en los
procedimientos legales. Analista forense:
es el profesional que se encarga de analizar las
pruebas digitales recopiladas y extraer información
útil. Experto en
seguridad informática: es el profesional que se
encarga de proteger los sistemas informáticos de
posibles amenazas de seguridad. Perito
informático: es el profesional que ofrece
testimonio experto en procedimientos judiciales
relacionados con delitos informáticos.
Clasificación de investigadores: el intruso y
sus técnicas
Según su formación académica y experiencia:
se pueden distinguir entre investigadores con
formación en informática, que se han especializado
en informática forense, y aquellos con formación
en otras disciplinas, como la criminología o la
investigación policial, que han adquirido
conocimientos en informática forense a través de
cursos y formaciones específicas.
Según su función en el proceso de
investigación: se pueden distinguir entre
investigadores forenses que trabajan para
empresas o instituciones dedicadas a la
investigación forense, como empresas de
seguridad informática o cuerpos policiales, y
aquellos que trabajan como consultores
independientes o expertos forenses contratados
por empresas o particulares.
Según su especialización: se pueden distinguir
entre investigadores forenses especializados en
diferentes áreas de la informática forense, como la
recuperación de datos, el análisis de sistemas
informáticos, el análisis de redes y la
ciberseguridad, entre otros.
TIPOS DE HACKERS LA MENTE DEL INTRUSO
E IDENTIFICACIÓN DE RASTRO DE LOS
ATACANTES
Hackers éticos o white hat: son expertos en
seguridad informática que trabajan para empresas,
organizaciones gubernamentales o de
investigación, y se dedican a encontrar y corregir
información valiosa sobre la actividad del usuario,
Hackers malintencionados o black hat: son
hackers que se dedican a violar la seguridad de los
sistemas informáticos con el objetivo de obtener
información confidencial, causar daños o
extorsionar a las víctimas.
Hacktivistas o gray hat: son hackers que utilizan
sus habilidades para luchar por una causa política
o social. Suelen realizar ataques a sistemas de
empresas o instituciones que consideran que
actúan en contra de sus ideales.
Script kiddies: son hackers con habilidades
limitadas que utilizan herramientas automatizadas
para realizar ataques simples.
Hackers del gobierno o state-sponsored
hackers: son hackers que trabajan para gobiernos
o agencias de inteligencia y se dedican a realizar
ataques cibernéticos con objetivos políticos o
militares.
LA MENTE DEL INTRUSO E IDENTIFICACION
DE RASTRO DE LOS ATAQUES
Para identificar los rastros de un ataque, se deben
seguir los siguientes pasos:
Recopilar información: se deben recopilar todos
los registros de eventos y logs de los sistemas
afectados, para analizarlos y determinar las
posibles pistas que puedan proporcionar.
Analizar los rastros: se deben analizar los rastros
del ataque para determinar cómo se produjo y qué
métodos se utilizaron. Esto incluye analizar los
registros de eventos, los archivos modificados, los
archivos eliminados, los accesos no autorizados,
entre-otros.
Identificar los objetivos: se deben identificar los
objetivos del ataque, es decir, qué información o
recursos buscaba el atacante, para determinar qué
datos pueden haber sido comprometidos.
Tomar medidas correctivas: se deben tomar
medidas correctivas para mitigar los daños
causados por el ataque y para prevenir futuros
ataques.
DISEÑO DE PROCEDIMIENTO DE
INFORMATICA FORENSE
PLANEAMIENTO Y PREPARACION PARA LA
RESPUESTA ANTE UN INCIDENTE Y REGLAS
BASICAS Y PROCEDIMIENTOS PARA EL
MANEJO DE LA EVIDENCIA DIGITAL
DEFINIR EL EQUIPO DE RESPUESTA: se debe
definir el equipo que se encargará de responder al
incidente y establecer sus roles y y redes de la organización cumplan con las
responsabilidades. Este equipo puede estar
conformado por personal interno de la
organización o por expertos externos en seguridad
informática. IDENTIFICAR LOS SISTEMAS
CRÍTICOS Y LOS DATOS SENSIBLES: se deben
identificar los sistemas y datos críticos para la
organización, y establecer un plan de contingencia
para protegerlos y restaurarlos en caso de ser
afectados por el incidente.
ESTABLECER POLÍTICAS Y es importante identificar los activos críticos de la
PROCEDIMIENTOS: se deben establecer políticas
y procedimientos claros para la detección,
notificación y respuesta a los incidentes de
seguridad informática REALIZAR
EJERCICIOS DE SIMULACIÓN: se deben realizar
ejercicios de simulación para probar el plan de
respuesta ante incidentes y evaluar su efectividad.
Estos ejercicios deben incluir diferentes escenarios
y situaciones para asegurarse de que el equipo de
respuesta esté preparado para enfrentar cualquier
tipo de incidente. ESTABLECER
MEDIDAS DE SEGURIDAD ADICIONALES: se
deben establecer medidas de seguridad
adicionales, como la implementación de sistemas
de detección de intrusiones, el fortalecimiento de la
autenticación y la implementación de políticas de
acceso y control de datos-entre-otras.
MANTENER ACTUALIZADO EL PLAN DE
RESPUESTA: se debe mantener actualizado el
plan de respuesta ante incidentes de seguridad
informática, ya que los sistemas y amenazas están
en-constante-cambio.
REGLAS BASICAS Y PROCEDIMIENTOS PARA
EL MANEJO DE LA EVIDENCIA DIGITAL
IDENTIFICAR LA EVIDENCIA: se debe identificar
la evidencia digital y documentar su ubicación y
estado-antes-de-ser-recogida.
PRESERVAR LA EVIDENCIA: se debe preservar
la evidencia digital en su estado original y
protegerla de cualquier alteración, destrucción o
daño. ASEGURAR LA CADENA DE CUSTODIA:
se debe establecer una cadena de custodia para la
evidencia digital, que documente todas las
personas que han tenido acceso a la evidencia y
todas las actividades-realizadas-con-ella.
UTILIZAR HERRAMIENTAS ESPECIALIZADAS:
se deben utilizar herramientas especializadas para
la recopilación y análisis de la evidencia digital, con
el fin de evitar cualquier tipo de alteración o daño.
ANALIZAR LA EVIDENCIA: se debe analizar la
evidencia digital para extraer información relevante
y determinar su significado en el contexto de la
investigación-o-proceso-judicial.
suceden en la red.
documentar todo el proceso de manejo de la
evidencia digital, desde su recolección hasta su
análisis y presentación en el proceso judicial o
investigación.
MANTENER LA CONFIDENCIALIDAD: se debe
mantener la confidencialidad de la evidencia
digital, evitando su divulgación a personas que no
estén autorizadas para acceder a ella.
CUMPLIR CON LAS LEYES Y REGULACIONES:
se debe cumplir con todas las leyes y regulaciones
relacionadas con el manejo de la evidencia digital,
incluyendo las relacionadas con la privacidad y la
protección de datos personales.
ROLES Y RESPONSABILIDADES
ADMINISTRADOR DE SISTEMAS
INSTALACIÓN, CONFIGURACIÓN
MANTENIMIENTO DE LOS SISTEMAS: el
administrador de sistemas debe instalar, configurar
y mantener los sistemas informáticos y de red de la
organización.
MONITOREO Y GESTIÓN DE LA RED: el
administrador de sistemas debe monitorear y
gestionar la red de la organización, asegurándose
de que esté funcionando correctamente y
detectando y solucionando cualquier problema o
anomalía.
PROTECCIÓN Y SEGURIDAD DE
SISTEMAS: el administrador de sistemas es
responsable de proteger los sistemas de la
organización contra amenazas externas e internas
GESTIÓN DE COPIAS DE SEGURIDAD Y
RECUPERACIÓN DE DATOS: el administrador de
sistemas debe gestionar las copias de seguridad
de los datos de la organización y asegurarse de
que puedan ser recuperados en caso de una
pérdida de
SOPORTE TÉCNICO Y RESOLUCIÓN DE
PROBLEMAS: el administrador de sistemas debe
brindar soporte técnico a los usuarios de la
organización y resolver cualquier problema técnico
que puedan
DOCUMENTACIÓN Y REPORTES:
administrador de sistemas debe mantener una
documentación detallada de los sistemas y redes
de la organización y generar informes periódicos
sobre su estado y funcionamiento.
CUMPLIMIENTO NORMATIVO: el administrador
de sistemas debe asegurarse de que los sistemas
regulaciones y normativas aplicables.
INVESTIGACIÓN Y EVALUACIÓN DE NUEVAS
TECNOLOGÍAS: el administrador de sistemas
debe estar al tanto de las nuevas tecnologías y
evaluar su potencial para mejorar los sistemas y
redes de la organización.
CONSIDERACIONES DE DISEÑO
INFRAESTRUCTURA DE SEGURIDAD
IDENTIFICACIÓN DE LOS ACTIVOS CRÍTICOS:
organización, incluyendo datos confidenciales,
aplicaciones críticas y sistemas de red. Una vez
identificados, se pueden aplicar medidas de
seguridad específicas para protegerlos.
EVALUACIÓN DE RIESGOS: es necesario
evaluar los riesgos asociados con los activos
críticos de la organización y determinar las
medidas de seguridad apropiadas para mitigar
esos riesgos. SEGURIDAD FÍSICA: la
seguridad física de la infraestructura es
fundamental para proteger los sistemas y datos de
la organización SEGURIDAD DE LA
RED: la seguridad de la red es crítica para prevenir
accesos no autorizados a los sistemas y datos de
la organización. Esto incluye la implementación de
firewalls, sistemas de detección de intrusiones,
cifrado de datos y autenticación de usuarios.
POLÍTICAS DE SEGURIDAD: es importante
establecer políticas claras de seguridad para los
usuarios y empleados de la organización,
incluyendo políticas de contraseñas, acceso a
datos y uso de dispositivos personales en la red
corporativa.
CAPACITACIÓN DE LOS EMPLEADOS: los
empleados deben ser capacitados sobre las
políticas de seguridad de la organización y la
importancia de mantener la seguridad de los
sistemas y datos de la empresa.
ACTUALIZACIONES Y PARCHES: es importante
mantener actualizados los sistemas y software de
la organización, aplicando parches de seguridad y
actualizaciones de software para mitigar
vulnerabilidades-conocidas.
AUDITORÍAS Y PRUEBAS DE PENETRACIÓN:
es importante realizar auditorías periódicas y
pruebas de penetración para identificar posibles
vulnerabilidades en la infraestructura y evaluar la
eficacia de las medidas de seguridad
implementadas.
TECNICAS BASICAS PARA EL DISEÑO Y LA
GENERACION DEL RASTRO
ANÁLISIS DE REGISTROS DEL SISTEMA: los
registros del sistema pueden proporcionar
Ventajas: gratuito –
como la hora de inicio de sesión, las operaciones detector de paquetes – minima interfaz
realizadas y las aplicaciones utilizadas.
ANÁLISIS DE RED: el tráfico de red se puede desventaja: escaner lento – minima interfaz en la
analizar para identificar patrones de actividad versión gratuita
malintencionada, como el envío de datos no
autorizados o la comunicación con direcciones IP OSSEC: características principales
sospechosas. 1Agentes disponibles para cualquier sistema
ANÁLISIS DE ARCHIVOS: se pueden analizar operativo-mayoritario.
archivos, como documentos y correos electrónicos, 2Dispone de agentes compilados para Windows.
para identificar pistas sobre la actividad del 3Funcionalidad muy extensa.
usuario, como quién los creó, cuándo se crearon y 4Instalación sencilla.
si se han modificado. OSSEC se integra de forma completa con USM,
ANÁLISIS DE METADATOS: los metadatos son tanto para instalar un agente en servidores,
DEL información adicional sobre un archivo, como la modificar políticas o investigar las capacidades de
fecha de creación, el tamaño del archivo y la respuesta activa del sistema HIDS. Todo se puede
Y ubicación. hacer desde el entorno USM, y los clientes de
ANÁLISIS DE DISPOSITIVOS DE OSSEC están pre-integrados en los motores de
ALMACENAMIENTO: los dispositivos de Correlación y SIEM.
almacenamiento, como discos duros y dispositivos Ventajas: ventaja innegable es la de contar con un
USB, se pueden analizar para identificar pistas control centralizado de los agentes desde un
sobre la actividad del usuario, como los archivos servidor único. Dado que los despliegues pueden
almacenados y las fechas de acceso. alcanzar cientos o miles de clientes, por el bien del
AUDITABILIDAD Y TRAZABILIDAD: administrador es necesario poder hacerlo en
CONSIDERACION JURIDICAS Y ASPECTOS DE bloque.
LOS RASTROS CON PLATAFORMAS
TECNOLOGICAS
LOS La AUDITABILIDAD se refiere a la capacidad de
un sistema o proceso para registrar eventos y
acciones relevantes en un formato legible y
accesible para su posterior revisión.
La TRAZABILIDAD, por otro lado, se refiere a la
capacidad de rastrear la historia de un objeto o
evento en particular.
CONSIDERACIONES JURIDICAS Y ASPECTOS
DE LOS RASTROS CON LAS PLATAFORMAS
datos. TECNOLOGICAS
PROTECCIÓN DE DATOS PERSONALES: la
utilización de plataformas tecnológicas puede
implicar la recolección, procesamiento y
almacenamiento de datos personales, lo que
tener. puede estar regulado por leyes y regulaciones de
el protección de datos personales.
PROPIEDAD INTELECTUAL: las plataformas
tecnológicas pueden estar sujetas a leyes de
propiedad intelectual, como patentes, derechos de
autor y marcas comerciales.
RESPONSABILIDAD CIVIL Y PENAL: la
utilización de plataformas tecnológicas puede
implicar la generación de rastros digitales que
pueden ser utilizados en investigaciones criminales
o civiles. CUMPLIMIENTO DE REGULACIONES
ESPECÍFICAS: algunas industrias o sectores
pueden estar sujetos a regulaciones específicas,
como la industria financiera o la atención médica.
PROCEDIMIENTOS DE CONSERVACIÓN Y
DE CUSTODIA DE EVIDENCIA: en caso de ser
necesaria la presentación de rastros digitales como
evidencia en un juicio o investigación.
SISTEMAS DE DETECCION DE INTRUSOS
CARACTERISTICAS-VENTAJAS-
DESVENTAJAS
SURICATA: Es un Sistemas de Detección de
Intrusos (IDS) y Sistemas de Protección contra
Intrusos (IPS) son programas que se utilizan para
identificar actividades maliciosas en la red. La
diferencia entre ellos consiste en que un IPS es
capaz de eliminar las amenazas que encuentra,
mientras que un IDS solamente las reporta.
Ventajas: alto Rendimiento – detección automática
de protocolo – salidas estándar de la industria
desventajas: alto costo la versión pro
SNORT: Snort es el sistema de prevención de
intrusiones (IPS) de código abierto más importante
del mundo. Snort IPS usa una serie de reglas que
ayudan a definir la actividad de red maliciosa y usa
esas reglas para encontrar paquetes que coincidan
con ellos y generar alertas para los usuarios.
Ventajas: Entre sus ventajas, podemos destacar
varios aspectos. Uno de los más evidentes es su
longevidad y la buena salud del proyecto, algo que
nos permite implementarlo sin preocuparnos por el
futuro. También destaca el gran apoyo de la
comunidad Snort y por tanto el hecho de ser una
herramienta muy probada.
Desventajas: Como desventajas solo podemos
decir que Snort no cuenta por defecto con un GUI
o interfaz gráfica de usuario por defecto, por tanto
no es tan fácil de administrar como otras. Sin
embargo, existen herramientas opensource para
compensarlo, como Snorby o Squil, así que no es
un problema realmente
KISMET: se convirtió en el estandar para análisis
de intrusiones en red, Kismet se ha ido
convirtiendo en una referencia para IDS wireless.
Un IDS Wireless tiene menos que ver con la carga
de paquetes en sí, y más con los eventos que