Informática Criminológica: Actividad 01

Nombre: Dafne Abigail Rocha Cuellar

Fecha: 11 de septiembre de 2023 Calificación:

Carpeta de investigación: UASLP/03/29072023.

San Luis Potosí, San Luis Potosí, México.
29 de julio de 2023, 23:45 horas.

El troyano bancario Emotet fue identificado por el grupo de investigadores en ciberseguridad del
corporativo “San Luis Corp.” el día 29 de julio de 2023 a las 23:45 horas, se conoce que el ataque
informático fue diseñado para colarse en el ordenador de un usuario para robar información confidencial
y privada, así mismo, derivado el estudio de la carga útil del malware se obtuvieron conexiones de
servicio de envío de spam y descarga de malware.

Una línea de investigación presume que el atacante realizó ingeniería social en la que se envió un correo
electrónico sobre una presunta “información de un pago”, aparentemente el atacante estudio a la víctima
antes de efectuar el ataque.

El ataque afecto a los sistemas transaccionales del corporativo, por lo que se logró una apertura de
cuenta corriente vulnerada y se llevaron desvíos de recursos financieros.

El administrador de la red ha dispuesto la arquitectura de su infraestructura de red y base de datos con la

finalidad de ejercer las acciones pertinentes del que haya lugar.

Como líder de una investigación criminal, se le ha solicitado proveer un informe de investigación en virtud
de gestionar políticas en materia de ciberseguridad y prevenir un ataque futuro.

A la par se anexan los siguientes indicios.

Página 1|8
Informática Criminológica: Actividad 01

Página 2|8
Informática Criminológica: Actividad 01

1. ¿Qué elementos considera pueden ser aprovechados por un actor cibercriminal derivado del
análisis del perfil sustraído? Nombre de la persona, una fotografía de su rostro, fotografías de su
familia, amigos o parientes; la cantidad de amigos que tienes en las redes sociales; tu lugar de
trabajo; su hogar y país de origen; fotos privadas de tu vida; sus preferencias, creencias
religiosas y pasatiempos; y cualquier servicio o aplicación de transmisión de video o películas
que pueda estar utilizando en sus dispositivos electrónicos...
2. ¿Cuál fue la posible plataforma que el atacante empleo para llegar a su víctima? Disney Plus,
como publicación sobre la plataforma que analiza una posible decisión de compra de estos
servicios, se puede encontrar en sus perfiles de redes sociales, y en el informe de investigación
se menciona que Disney Plus fue descubierto a través de spam y un correo electrónico que
contenía supuesta información de pago.
3. Reorganice la base de datos transaccional para su mejor análisis e interpretación.

Tabla Conglomerados
ID Conglomerado País de origen Sociedad mercantil
C1 Banagricola Panamá SAS
C2 Casa corredora de El Salvador S de RL
Página 3|8
Informática Criminológica: Actividad 01

bolsa Valores Bangrix

C3 Cuscatlán El Salvador SAS

C4 Fondo de inversiones El Salvador S de RL

Atlántida
C5 Abank Suiza SA
C6 Bac Credomatic Barbados SA
C7 Joinville Gibraltar SA
C8 Joinville Bermudas SA
Tabla Transacción
ID Moneda de transacción Monto de transacción
T1 EUR 156786947
T2 JPY 5767057097
T3 CNY 46154265160
T4 EUR 1653210
T5 CHF 65103202661
T6 JOD 51301265125
T7 JOD 1611023065
T8 JOD 51651023894
Tabla Origen
ID Cuenta de origen IP de origen
B1 457931 01010111.00111000.01010101.
00001110
B2 457931 10010100.00100011.01001110.
00011100
B3 457931 01010111.00111000.01010101.
00001110

B4 457931 10010100.00100011.01001110.
00011100

B5 5469746 10010100.00100011.01001110.
00011100

B6 5469746 10010100.00100011.01001110.
00011100

B7 5469746 10010100.00100011.01001110.
00011100

B8 5469746 10010100.00100011.01001110.
00011100

Tabla Destino
ID Cuenta Destino
D1 7896256
D2 7886973
D3 7896256

Página 4|8
Informática Criminológica: Actividad 01

D4 7886973

D5 7886973

D6 7886973

D7 7886973

D8 7886973

Tabla Tipo de Transacción

ID Transacción
TT1 COMMIT
TT2 ROLLBACK
Tabla Sociedad Mercantil
ID Sociedad Mercantil
S1 SAS
S2 S de RL
S3 SA
Tipo de relación uno a varios
Tabla Reducida Conglomerados
ID Conglomerado
G1 Banagricola
G2 Casa corredora de Bolsa Valores Bangrix
G3 Cuscatlán
G4 Fondo de inversiones Atlántida
G5 Abank
G6 Bac Credomatic
G7 Joinville
Clave primaria
Tabla País de origen
ID País de origen
P1 Panamá
P2 El Salvador
P3 Suiza
P4 Barbados
P5 Gibraltar
P6 Bermudas
Tabla Moneda de transacción
ID Moneda de transacción
M1 EUR
M2 JPY
M3 CNY

Página 5|8
Informática Criminológica: Actividad 01

M4 CHF
M5 JOD
Tabla Monto de transacción
ID Monto de transacción
MT1 156786947

MT2 5767057097

MT3 46154265160

MT4 1653210

MT5 65103202661

MT6 51301265125

MT7 1611023065

MT8 51651023894

Tipo de relación uno a varios

Tabla Cuenta de origen
ID Cuenta de origen
O1 457931

O2 5469746

Tipo de relación uno a varios

Tabla IP de origen
ID IP de origen
IP1 01010111.00111000.01010101.00001110

IP2 10010100.00100011.01001110.00011100

Tabla Reducida Destino

ID Cuenta de destino
CD1 7896256

CD2 7886973

4. ¿Cuántas tablas de análisis existen? 9 tablas

5. ¿Cuántos atributos se identifican? 18 atributos
6. ¿Qué entidades se pueden analizar? 5 entidades
7. ¿Cuántos datos contiene el registro de la base de datos transaccional? 74 datos
8. ¿Desde que dispositivo vulnerado se efectuaron las transacciones de emotet? Desde el
dispositivo con IP 148.35.78.28
9. ¿Desde qué dirección IP se efectuaron las transacciones válidas? Desde la dirección
87.56.85.14
Página 6|8
Informática Criminológica: Actividad 01

10. Según los datos transaccionales, ¿cuántas operaciones ilegítimas se realizaron? 6 operaciones
ilegítimas
11. ¿Cuántas operaciones de desvío de recursos se efectuaron? No hay
12. ¿Cuáles son las cuentas de origen que se deben de investigar? La cuenta 5469746
13. ¿Cuáles son las cuentas de destino que se deben de investigar? La cuenta 7886973
14. ¿Cuál es el conglomerado del cuál se deben de iniciar las primeras intervenciones? Los
conglomerados de Casa Corredora de Bolsa Valores Bangrix y Fondo de Inversiones Atlántida
15. ¿Cuál es la subred que contiene direccionamiento de clase A? SLP01
16. ¿En qué subred, que dispositivo y que dirección IP posee el dispositivo final vulnerado? En la
subred TI, el dispositivo Backup Server, con IP 127.0.0.1
17. ¿Cuál dispositivo final posee una dirección IPv4 que no corresponde a ninguna clase? El de
Backup Server
18. Identifique el dispositivo y la dirección IP del cual se realiza un enrutamiento de flujo propio.
 El dispositivo es el Backup Server, la dirección IP es 127.0.0.1
19. ¿Qué se puede concluir del dispositivo del cual se realiza un enrutamiento de flujo proprio? Se
puede concluir que este dispositivo tiene una base de datos, que es donde se almacena
información de respaldo, y que fue el dispositivo vulnerado, ya que de aquí se extrajo la
información crítica en el ataque.
20. ¿Qué tipo de conexión se realizó desde el dispositivo que contenía información crítica? Conexión
VPN
21. ¿Cuál es la dirección IP de destino en la que se inició la conexión remota para la carga de
información? La dirección 176.35.89.20
22. ¿Qué dispositivo y en que subred se encuentran aquel que no posee un direccionamiento IP
válido? El dispositivo es el Backup Server y la subred es TI
23. ¿Cuál es el país, ciudad e ISP en la que se deben de iniciar los requerimientos de información
para el desarrollo de la investigación? Brasil, Ciudad Joinville, ISP Murphy UK Network VI.
24. ¿Qué tipo de enmascaramiento utilizó el atacante al publicar el data leak? Función hash
25. ¿Cuál es el texto que refirió el atacante como método de burla en el registro del data leak?
“Boss”

REPORTE DE INVESTIGACIÓN

En esta carpeta de investigación, en la ciudad de San Luis Potosí, a 29 de julio de 2023

a las A las 11:45 p. m., se informó que el troyano Emotet fue identificado en San Luis
Corp. Entraba en el ordenador del usuario para robar información a través de spam y
malware. Se ha enviado un correo electrónico con información de pago.
Presuntamente, los datos personales en los que se centraron los atacantes en esta
operación fueron robados de perfiles de Facebook, donde se puede encontrar
información como el nombre de una persona, taza, fotos de familiares, amigos o
parientes; número de amigos en tu red social; lugar de trabajo; lugar de residencia y
lugar de origen; fotos personales de tu vida; gustos, creencias religiosas, aficiones;
consumo de servicios y aplicaciones de streaming de vídeo o películas que pueda
utilizar en sus dispositivos electrónicos. Se especula que la plataforma donde estafaron
a la víctima es Disney. Como resultado del ataque, se desviaron recursos financieros.
Digamos que la dirección IP del dispositivo infectado es 148.35.78.28. Se estima que
se han cometido 6 actos ilícitos. Las cuentas de origen y destino a investigar son
5469746 y 7886973 respectivamente. Los grupos empresariales investigados son Casa
Corredora de Bolsa Valores Bangrix y Fondo de Inversiones Atlántida. El dispositivo
final infectado se encuentra en la subred de TI y es un dispositivo servidor de respaldo
Página 7|8
Informática Criminológica: Actividad 01

con IP 127.0.0.1. Se puede concluir que el dispositivo cuenta con una base de datos
que almacena información de respaldo y que es el dispositivo infectado porque fue la
información clave en el ataque. El ataque se llevó a cabo a través de una conexión
VPN. La dirección IP de destino para iniciar una conexión remota para cargar
información es 176.35.89.20. El país, ciudad y ISP donde deben originarse los
requerimientos de información para el desarrollo de la investigación es Brasil, Ciudad
de Joinville, ISP Murphy UK Network VI. Los atacantes utilizan máscaras hash para
publicitar las violaciones de datos. Un descifrado SHA256 de la URL de la cebolla
reveló que contenía la palabra "Jefe". Al final de este informe se pueden sugerir las
siguientes medidas de ciberseguridad: Mantener los perfiles de los empleados bajo
condiciones definidas y estrictas de privacidad, no mostrando información personal,
fotografías, información sobre amigos, lugar de trabajo, lugar de residencia u origen,
gustos o aficiones. Se recomienda establecer protocolos de seguridad para los correos
electrónicos recibidos o enviados desde la oficina de la empresa, así como información
y cursos de formación sobre spam y malware. Tenga especial cuidado con información
sensible y valiosa, como información de pago o bancaria. También se espera que los
empleados comprendan qué es la web oscura, quiénes son sus usuarios y cómo
protegerse de los ciberdelincuentes que operan en esas redes. El propósito de enviar el
informe de investigación anterior es prevenir nuevos ataques y fortalecer la seguridad
de San Luis Corp.

Página 8|8