Informática Criminológica: Actividad 01

Nombre: Dafne Abigail Rocha Cuellar

Fecha: 11 de septiembre de 2023 Calificación:

Carpeta de investigación: UASLP/03/29072023.

San Luis Potosí, San Luis Potosí, México.
29 de julio de 2023, 23:45 horas.

El troyano bancario Emotet fue identificado por el grupo de investigadores en ciberseguridad del corporativo “San
Luis Corp.” el día 29 de julio de 2023 a las 23:45 horas, se conoce que el ataque informático fue diseñado para
colarse en el ordenador de un usuario para robar información confidencial y privada, así mismo, derivado el estudio
de la carga útil del malware se obtuvieron conexiones de servicio de envío de spam y descarga de malware.

Una línea de investigación presume que el atacante realizó ingeniería social en la que se envió un correo electrónico
sobre una presunta “información de un pago”, aparentemente el atacante estudio a la víctima antes de efectuar el
ataque.

El ataque afecto a los sistemas transaccionales del corporativo, por lo que se logró una apertura de cuenta corriente
vulnerada y se llevaron desvíos de recursos financieros.

El administrador de la red ha dispuesto la arquitectura de su infraestructura de red y base de datos con la finalidad de
ejercer las acciones pertinentes del que haya lugar.

Como líder de una investigación criminal, se le ha solicitado proveer un informe de investigación en virtud de
gestionar políticas en materia de ciberseguridad y prevenir un ataque futuro.

A la par se anexan los siguientes indicios.

Página1|
Informática Criminológica: Actividad 01

Página2|
Informática Criminológica: Actividad 01

1. ¿Qué elementos considera pueden ser aprovechados por un actor cibercriminal derivado del análisis del
perfil sustraído? Nombre de la persona, una fotografía de su rostro, fotografías de su familia, amigos o
parientes; la cantidad de amigos que tienes en las redes sociales; tu lugar de trabajo; su hogar y país de
origen; fotos privadas de tu vida; sus preferencias, creencias religiosas y pasatiempos; y cualquier servicio
o aplicación de transmisión de video o películas que pueda estar utilizando en sus dispositivos
electrónicos...
2. ¿Cuál fue la posible plataforma que el atacante empleo para llegar a su víctima? Disney Plus, como
publicación sobre la plataforma que analiza una posible decisión de compra de estos servicios, se puede
encontrar en sus perfiles de redes sociales, y en el informe de investigación se menciona que Disney Plus
fue descubierto a través de spam y un correo electrónico que contenía supuesta información de pago.
3. Reorganice la base de datos transaccional para su mejor análisis e interpretación.

Tabla Conglomerados
ID Conglomerado País de origen Sociedad mercantil
C1 Banagricola Panamá SAS

Página3|
Informática Criminológica: Actividad 01

C2 Casa corredora de El Salvador S de RL

bolsa Valores Bangrix
C3 Cuscatlán El Salvador SAS

C4 Fondo de inversiones El Salvador S de RL

Atlántida
C5 Abank Suiza SA
C6 Bac Credomatic Barbados SA
C7 Joinville Gibraltar SA
C8 Joinville Bermudas SA
Tabla Transacción
ID Moneda de transacción Monto de transacción
T1 EUR 156786947
T2 JPY 5767057097
T3 CNY 46154265160
T4 EUR 1653210
T5 CHF 65103202661
T6 JOD 51301265125
T7 JOD 1611023065
T8 JOD 51651023894
Tabla Origen
ID Cuenta de origen IP de origen
B1 457931 01010111.00111000.01010101.
00001110
B2 457931 10010100.00100011.01001110.
00011100
B3 457931 01010111.00111000.01010101.
00001110

B4 457931 10010100.00100011.01001110.
00011100

B5 5469746 10010100.00100011.01001110.
00011100

B6 5469746 10010100.00100011.01001110.
00011100

B7 5469746 10010100.00100011.01001110.
00011100

B8 5469746 10010100.00100011.01001110.
00011100

Tabla Destino
ID Cuenta Destino
D1 7896256
D2 7886973

Página4|
Informática Criminológica: Actividad 01

D3 7896256

D4 7886973

D5 7886973

D6 7886973

D7 7886973

D8 7886973

Tabla Tipo de Transacción

ID Transacción
TT1 COMMIT
TT2 ROLLBACK
Tabla Sociedad Mercantil
ID Sociedad Mercantil
S1 SAS
S2 S de RL
S3 SA
Tipo de relación uno a varios

Tabla Reducida Conglomerados

ID Conglomerado
G1 Banagricola
G2 Casa corredora de Bolsa Valores Bangrix
G3 Cuscatlán
G4 Fondo de inversiones Atlántida
G5 Abank
G6 Bac Credomatic
G7 Joinville

Clave
Tabla primaria
País de origen
ID País de origen
P1 Panamá
P2 El Salvador
P3 Suiza
P4 Barbados
P5 Gibraltar
P6 Bermudas
Tabla Moneda de transacción
ID Moneda de transacción
M1 EUR
M2 JPY

Página5|
Informática Criminológica: Actividad 01

M3 CNY
M4 CHF
M5 JOD
Tabla Monto de transacción
ID Monto de transacción
MT1 156786947

MT2 5767057097

MT3 46154265160

MT4 1653210

MT5 65103202661

MT6 51301265125

MT7 1611023065

MT8 51651023894

Tipo de relación uno a varios

Tabla Cuenta de origen
ID Cuenta de origen
O1 457931

O2 5469746

Tipo de relación uno a varios

Tabla IP de origen
ID IP de origen
IP1 01010111.00111000.01010101.00001110

IP2 10010100.00100011.01001110.00011100

Tabla Reducida Destino

ID Cuenta de destino
CD1 7896256

CD2 7886973

4. ¿Cuántas tablas de análisis existen? 9 tablas

5. ¿Cuántos atributos se identifican? 18 atributos
6. ¿Qué entidades se pueden analizar? 5 entidades
7. ¿Cuántos datos contiene el registro de la base de datos transaccional? 74 datos
8. ¿Desde que dispositivo vulnerado se efectuaron las transacciones de emotet? Desde el dispositivo con IP
148.35.78.28
9. ¿Desde qué dirección IP se efectuaron las transacciones válidas? Desde la dirección 87.56.85.14

Página6|
Informática Criminológica: Actividad 01

10. Según los datos transaccionales, ¿cuántas operaciones ilegítimas se realizaron? 6 operaciones
11. ¿Cuántas
ilegítim operaciones de desvío de recursos se efectuaron? No hay
12. ¿Cuáles son las cuentas de origen que se deben de investigar? La cuenta 5469746
13. ¿Cuáles son las cuentas de destino que se deben de investigar? La cuenta 7886973
14. ¿Cuál es el conglomerado del cuál se deben de iniciar las primeras intervenciones? Los conglomerados de
Casa Corredora de Bolsa Valores Bangrix y Fondo de Inversiones Atlántida
15. ¿Cuál es la subred que contiene direccionamiento de clase A? SLP01
16. ¿En qué subred, que dispositivo y que dirección IP posee el dispositivo final vulnerado? En la subred
TI, el dispositivo Backup Server, con IP 127.0.0.1
17. ¿Cuál dispositivo final posee una dirección IPv4 que no corresponde a ninguna clase? El de Backup
Server
18. Identifique el dispositivo y la dirección IP del cual se realiza un enrutamiento de flujo propio.
 El dispositivo es el Backup Server, la dirección IP es 127.0.0.1
19. ¿Qué se puede concluir del dispositivo del cual se realiza un enrutamiento de flujo proprio? Se puede
concluir que este dispositivo tiene una base de datos, que es donde se almacena
información de respaldo, y que fue el dispositivo vulnerado, ya que de aquí se extrajo la información
crítica en el ataque.
20. ¿Qué tipo de conexión se realizó desde el dispositivo que contenía información crítica? Conexión VPN
21. ¿Cuál es la dirección IP de destino en la que se inició la conexión remota para la carga de
información? La dirección 176.35.89.20
22. ¿Qué dispositivo y en que subred se encuentran aquel que no posee un direccionamiento IP válido? El
dispositivo es el Backup Server y la subred es TI
23. ¿Cuál es el país, ciudad e ISP en la que se deben de iniciar los requerimientos de información para el
desarrollo de la investigación? Brasil, Ciudad Joinville, ISP Murphy UK Network VI.
24. ¿Qué tipo de enmascaramiento utilizó el atacante al publicar el data leak? Función hash
25. ¿Cuál es el texto que refirió el atacante como método de burla en el registro del data leak? “Boss”

REPORTE DE INVESTIGACIÓN

En esta carpeta de investigación, en la ciudad de San Luis Potosí, a 29 de julio de 2023 a las A
las 11:45 p. m., se informó que el troyano Emotet fue identificado en San Luis Corp. Entraba en
el ordenador del usuario para robar información a través de spam y malware. Se ha enviado un
correo electrónico con información de pago. Presuntamente, los datos personales en los que se
centraron los atacantes en esta operación fueron robados de perfiles de Facebook, donde se puede
encontrar información como el nombre de una persona, taza, fotos de familiares, amigos o
parientes; número de amigos en tu red social; lugar de trabajo; lugar de residencia y lugar de
origen; fotos personales de tu vida; gustos, creencias religiosas, aficiones; consumo de servicios
y aplicaciones de streaming de vídeo o películas que pueda utilizar en sus dispositivos
electrónicos. Se especula que la plataforma donde estafaron a la víctima es Disney. Como
resultado del ataque, se desviaron recursos financieros. Digamos que la dirección IP del
dispositivo infectado es 148.35.78.28. Se estima que se han cometido 6 actos ilícitos. Las cuentas
de origen y destino a investigar son 5469746 y 7886973 respectivamente. Los grupos
empresariales investigados son Casa Corredora de Bolsa Valores Bangrix y Fondo de
Inversiones Atlántida. El dispositivo final infectado se encuentra en la subred de TI y es un
dispositivo servidor de respaldo con IP 127.0.0.1. Se puede concluir que el dispositivo cuenta
con una base de datos que almacena información de respaldo y que es el

Página7|
Informática Criminológica: Actividad 01

dispositivo infectado porque fue la información clave en el ataque. El ataque se llevó a cabo a
través de una conexión VPN. La dirección IP de destino para iniciar una conexión remota para
cargar información es 176.35.89.20. El país, ciudad y ISP donde deben
originarse los requerimientos de información para el desarrollo de la investigación es Brasil,
Ciudad de Joinville, ISP Murphy UK Network VI. Los atacantes utilizan máscaras hash para
publicitar las violaciones de datos. Un descifrado SHA256 de la URL de la cebolla reveló que
contenía la palabra "Jefe". Al final de este informe se pueden sugerir las siguientes medidas de
ciberseguridad: Mantener los perfiles de los empleados bajo condiciones definidas y estrictas de
privacidad, no mostrando información personal, fotografías, información sobre amigos, lugar de
trabajo, lugar de residencia u origen, gustos o aficiones. Se recomienda establecer protocolos de
seguridad para los correos electrónicos recibidos o enviados desde la oficina de la empresa, así
como información y cursos de formación sobre spam y malware. Tenga especial cuidado con
información sensible y valiosa, como información de pago o bancaria. También se espera que los
empleados comprendan qué es la web oscura, quiénes son sus usuarios y cómo protegerse de los
ciberdelincuentes que operan en esas redes. El propósito de enviar el informe de investigación
anterior es prevenir nuevos ataques y fortalecer la seguridad de San Luis Corp.

Página8|