Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El troyano bancario Emotet fue identificado por el grupo de investigadores en ciberseguridad del
corporativo “San Luis Corp.” el día 29 de julio de 2023 a las 23:45 horas, se conoce que el ataque
informático fue diseñado para colarse en el ordenador de un usuario para robar información confidencial
y privada, así mismo, derivado el estudio de la carga útil del malware se obtuvieron conexiones de
servicio de envío de spam y descarga de malware.
Una línea de investigación presume que el atacante realizó ingeniería social en la que se envió un correo
electrónico sobre una presunta “información de un pago”, aparentemente el atacante estudio a la víctima
antes de efectuar el ataque.
El ataque afecto a los sistemas transaccionales del corporativo, por lo que se logró una apertura de
cuenta corriente vulnerada y se llevaron desvíos de recursos financieros.
Como líder de una investigación criminal, se le ha solicitado proveer un informe de investigación en virtud
de gestionar políticas en materia de ciberseguridad y prevenir un ataque futuro.
Página 1|8
Informática Criminológica: Actividad 01
Página 2|8
Informática Criminológica: Actividad 01
1. ¿Qué elementos considera pueden ser aprovechados por un actor cibercriminal derivado del
análisis del perfil sustraído? Nombre de la persona, una fotografía de su rostro, fotografías de su
familia, amigos o parientes; la cantidad de amigos que tienes en las redes sociales; tu lugar de
trabajo; su hogar y país de origen; fotos privadas de tu vida; sus preferencias, creencias
religiosas y pasatiempos; y cualquier servicio o aplicación de transmisión de video o películas
que pueda estar utilizando en sus dispositivos electrónicos...
2. ¿Cuál fue la posible plataforma que el atacante empleo para llegar a su víctima? Disney Plus,
como publicación sobre la plataforma que analiza una posible decisión de compra de estos
servicios, se puede encontrar en sus perfiles de redes sociales, y en el informe de investigación
se menciona que Disney Plus fue descubierto a través de spam y un correo electrónico que
contenía supuesta información de pago.
3. Reorganice la base de datos transaccional para su mejor análisis e interpretación.
Tabla Conglomerados
ID Conglomerado País de origen Sociedad mercantil
C1 Banagricola Panamá SAS
C2 Casa corredora de El Salvador S de RL
Página 3|8
Informática Criminológica: Actividad 01
B4 457931 10010100.00100011.01001110.
00011100
B5 5469746 10010100.00100011.01001110.
00011100
B6 5469746 10010100.00100011.01001110.
00011100
B7 5469746 10010100.00100011.01001110.
00011100
B8 5469746 10010100.00100011.01001110.
00011100
Tabla Destino
ID Cuenta Destino
D1 7896256
D2 7886973
D3 7896256
Página 4|8
Informática Criminológica: Actividad 01
D4 7886973
D5 7886973
D6 7886973
D7 7886973
D8 7886973
Página 5|8
Informática Criminológica: Actividad 01
M4 CHF
M5 JOD
Tabla Monto de transacción
ID Monto de transacción
MT1 156786947
MT2 5767057097
MT3 46154265160
MT4 1653210
MT5 65103202661
MT6 51301265125
MT7 1611023065
MT8 51651023894
O2 5469746
IP2 10010100.00100011.01001110.00011100
CD2 7886973
10. Según los datos transaccionales, ¿cuántas operaciones ilegítimas se realizaron? 6 operaciones
ilegítimas
11. ¿Cuántas operaciones de desvío de recursos se efectuaron? No hay
12. ¿Cuáles son las cuentas de origen que se deben de investigar? La cuenta 5469746
13. ¿Cuáles son las cuentas de destino que se deben de investigar? La cuenta 7886973
14. ¿Cuál es el conglomerado del cuál se deben de iniciar las primeras intervenciones? Los
conglomerados de Casa Corredora de Bolsa Valores Bangrix y Fondo de Inversiones Atlántida
15. ¿Cuál es la subred que contiene direccionamiento de clase A? SLP01
16. ¿En qué subred, que dispositivo y que dirección IP posee el dispositivo final vulnerado? En la
subred TI, el dispositivo Backup Server, con IP 127.0.0.1
17. ¿Cuál dispositivo final posee una dirección IPv4 que no corresponde a ninguna clase? El de
Backup Server
18. Identifique el dispositivo y la dirección IP del cual se realiza un enrutamiento de flujo propio.
El dispositivo es el Backup Server, la dirección IP es 127.0.0.1
19. ¿Qué se puede concluir del dispositivo del cual se realiza un enrutamiento de flujo proprio? Se
puede concluir que este dispositivo tiene una base de datos, que es donde se almacena
información de respaldo, y que fue el dispositivo vulnerado, ya que de aquí se extrajo la
información crítica en el ataque.
20. ¿Qué tipo de conexión se realizó desde el dispositivo que contenía información crítica? Conexión
VPN
21. ¿Cuál es la dirección IP de destino en la que se inició la conexión remota para la carga de
información? La dirección 176.35.89.20
22. ¿Qué dispositivo y en que subred se encuentran aquel que no posee un direccionamiento IP
válido? El dispositivo es el Backup Server y la subred es TI
23. ¿Cuál es el país, ciudad e ISP en la que se deben de iniciar los requerimientos de información
para el desarrollo de la investigación? Brasil, Ciudad Joinville, ISP Murphy UK Network VI.
24. ¿Qué tipo de enmascaramiento utilizó el atacante al publicar el data leak? Función hash
25. ¿Cuál es el texto que refirió el atacante como método de burla en el registro del data leak?
“Boss”
REPORTE DE INVESTIGACIÓN
con IP 127.0.0.1. Se puede concluir que el dispositivo cuenta con una base de datos
que almacena información de respaldo y que es el dispositivo infectado porque fue la
información clave en el ataque. El ataque se llevó a cabo a través de una conexión
VPN. La dirección IP de destino para iniciar una conexión remota para cargar
información es 176.35.89.20. El país, ciudad y ISP donde deben originarse los
requerimientos de información para el desarrollo de la investigación es Brasil, Ciudad
de Joinville, ISP Murphy UK Network VI. Los atacantes utilizan máscaras hash para
publicitar las violaciones de datos. Un descifrado SHA256 de la URL de la cebolla
reveló que contenía la palabra "Jefe". Al final de este informe se pueden sugerir las
siguientes medidas de ciberseguridad: Mantener los perfiles de los empleados bajo
condiciones definidas y estrictas de privacidad, no mostrando información personal,
fotografías, información sobre amigos, lugar de trabajo, lugar de residencia u origen,
gustos o aficiones. Se recomienda establecer protocolos de seguridad para los correos
electrónicos recibidos o enviados desde la oficina de la empresa, así como información
y cursos de formación sobre spam y malware. Tenga especial cuidado con información
sensible y valiosa, como información de pago o bancaria. También se espera que los
empleados comprendan qué es la web oscura, quiénes son sus usuarios y cómo
protegerse de los ciberdelincuentes que operan en esas redes. El propósito de enviar el
informe de investigación anterior es prevenir nuevos ataques y fortalecer la seguridad
de San Luis Corp.
Página 8|8