IES GGM

Curso 2023-2024

Seguridad y Alta Disponibilidad

1 – Introducción a la seguridad Informática

 Seguridad y Alta disponibilidad

Índice de contenido
1. OBJETIVOS.....................................................................................................3

2. INTRODUCCIÓN..............................................................................................4
2.1 Fiabilidad, confidencialidad, integridad y disponibilidad.......................................4
2.1.1 Paradoja de seguridad.....................................................................................4
2.1.2 Amenazas / vulnerabilidad..............................................................................5
2.1.3 Amenazas. Tipos.............................................................................................6
2.1.4 Medidas de protección. Tipos.........................................................................6
3. SEGURIDAD FÍSICA Y AMBIENTAL..............................................................6
3.1.1 Sistemas de alimentación ininterrumpida (SAI).............................................7
3.1.2 Seguridad lógica..............................................................................................9
4. ANÁLISIS FORENSE DE SISTEMAS INFORMÁTICOS................................9
4.1 Auditoría de Seguridad.........................................................................................10
4.2 Fases del análisis forense......................................................................................11
4.2.1 Herramientas.................................................................................................12
4.2.2 Ficheros más comunes usados en auditorías.................................................13

Pág. 2 de 14
 Seguridad y Alta disponibilidad

1. Objetivos

• Descubrir las las diferentes facetas de la seguridad informática.

• Conocer las principales amenazas y los tipos de medidas de seguridad disponibles
para defenderse.
• Medidas físicas y ambientales .
• Introducir el concepto de análisis forense.

Pág. 3 de 14
 Seguridad y Alta disponibilidad

2. Introducción
Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos,
es decir, que no estén dañados o alterados por circunstancias o factores externos, es una definición útil
para conocer lo que implica el concepto de seguridad informática.

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o
daño, ya sea de manera personal, grupal o empresarial. En este sentido, es la información el elemento
principal a proteger, resguardar y recuperar dentro de las redes empresariales.

En resumen, La seguridad informática consiste en asegurar que los recursos del sistema de
información de una organización sean utilizados de la manera que se decidió y que el acceso a la
información allí contenida, así como su modificación, solo sea posible a las personas que se encuentren
acreditadas y dentro de los límites de sus autorización.

Existen dos tipos de seguridad con respecto a la naturaleza de la amenaza:

• Seguridad lógica: aplicaciones para seguridad, herramientas informáticas, etc.

• Seguridad física: mantenimiento eléctrico, anti-incendio, humedad, etc.

2.1 Fiabilidad, confidencialidad, integridad y disponibilidad.

Fiabilidad
El sistema informático debe permanecer en funcionamiento, mantenimiento un rendimiento adecuado,
incluyendo la capacidad de superar adversidades sin dejar de proporcionar sus servicios a los usuarios.

Integridad
El sistema debe mantener el conjunto de sus datos sin pérdidas o alteraciones no deseadas (corrupción de
datos).

Confidencialidad
Los datos únicamente deben ser accesibles por las personas que tengan permisos para acceder o manejar.

Disponibilidad
El sistema informático y sus datos deben estar accesibles en todo momento que sean requeridos.

En relación con el último punto, se mide la disponibilidad de un sistema informático en «nueves».

- Se dice que un SI ofrece una disponibilidad de «2 nueves», si está disponible el 99 % del tiempo.
- Se dice que un SI ofrece una disponibilidad de «3 nueves», si lo está al 99.9 %.
- Así sucesivamente.

Ejercicio: Buscar la disponibilidad de Google Cloud Storage (Buckets) y calcular los segundos que no
están disponibles en un año.

2.1.1 Paradoja de seguridad

Las siguientes propiedades son características de todo sistema informático:

Funcionalidad: el sistema dispone de multitud herramientas y servicios pensadas para cubrir las
necesidades de los usuarios.

Usabilidad: el sistema es fácil de usar por parte de los usuarios.

Seguridad: el sistema y sus datos son seguros.

Pág. 4 de 14
 Seguridad y Alta disponibilidad

Estas tres cualidad no son plenamente compatibles, según muestra la figura. Esto es lo que se denomina
paradoja de la seguridad.

2.1.2 Amenazas / vulnerabilidad

«Vulnerable»: medida de la capacidad de un sistema para fallar de manera inesperada. En pocas palabras
una vulnerabilidad es un punto débil.

Como resulta evidente en un SI hay tres grandes elementos que son susceptibles de ser vulnerables y por
tanto, ser amenazados.

Físicas (más relacionadas con el hardware)

• Fluido eléctrico. Picos de tensión.

• Inundaciones y desastres naturales.
• Averías de hardware:
◦ RAM: errores muy difíciles de detectar.
◦ Discos: hay abundantes estadísticas acerca de sus tasas de fallos.
◦ Tarjetas gráficas.
◦ Interconexiones. cables y/o soldaduras
• Robos
• Acceso no autorizado a dispositivos.

Lógicas. Hacen referencia al software y especialmente a sus datos

• Sistema operativo: es importante tener activada la actualización automática que aplica «parches»
sin necesidad de recordar aplicarlas manualmente. Para evitar la aplicación de actualizaciones
que puedan estropear otras partes se suele aconsejar NO TENER ACTIVADA LA
ACTUALIZACIÓN AUTOMÁTICA en equipos críticos y sí tenerla en otros equipos que actúen
como «cobayas.»
• Aplicaciones. También pueden mostrar fallos que den lugar a consecuencias muy desagradables
especialmente con los datos.
• Software malicioso.
• Privacidad de los datos y las comunicaciones: captación ilegítima de datos, suplantación de
identidad, etc.

Cuando se habla de vulnerabilidad, se asocia este término con problemas software. Una vulnerabilidad
puede conllevar una serie de problemas muy graves:

• Que un intruso consiga permisos de administración en un sistema.

Pág. 5 de 14
 Seguridad y Alta disponibilidad

• Que un virus informático consiga tomar el control de los equipos de la empresa.

• Que un software o individuo consiga borrar/alterar/cifrar datos de la empresa.

En Internet todas las vulnerabilidades detectadas se publican como un informe CVE (Common
Vulnerability Exposure). Se han descubierto incluso vulnerabilidades a nivel de microprocesador. En
entornos muy sofisticados existen unas vulnerabilidades llamadas TEMPEST.

Algunas aplicaciones basadas en bases de datos son susceptibles de sufrir «ataques SQL» o «inyecciones
SQL» «SQL injects». Aunque esto tiende a desaparecer.

Otro tipo de ataque común son los HTML/JS injects.

En líneas generales, ningún programa web debe confiar en lo que escriben sus usuarios.

La tarea de supervisión de vulnerabilidades es constante y normalmente corresponde con el administrador

del sistema.

2.1.3 Amenazas. Tipos

Clasificando por lugar:

• Interna: los problemas originados dentro de la propia empresa son los más frecuentes y los de
impacto más grave
• Externa: son las originadas fuera de la propia empresa.

Clasificando por mecanismo:

• Físicas
• Lógicas

2.1.4 Medidas de protección. Tipos

Dependiendo de la amenaza se pueden optar por medidas pasivas o activas:

• Medidas pasivas: son las que se aplican al sistema informático, normalmente desde el principio
de su instalación como alarmas, sistemas de vigilancia, etc.
• Medidas activas: son las que se aplican día a día para combatir daños, parar ataques, etc.
Requieren de intervención o supervisión de un administrador. Ejemplo: instalación y supervisión
de un cortafuegos.

3. Seguridad Física y ambiental

Son todas aquellas que hacen uso de algún mecanismo tangible, ya sea por acción efectiva o por fallo,
para perjudicar el funcionamiento de los sistemas informáticos.
• Rotura intencionada.
• Temperaturas. Influyen en redimiento.
• Desastre natural: terremotos, inundaciones, incendios, etc. . .
◦ Se debe disponer de la protección antincendios adecuada.
◦ No todos los extintores son apropiados para todo.
◦ Los seguros no suelen cubrir eventos de este tipo.
◦ Se desaconseja la instalación de centros de datos en bajos o sótanos.
En relación con todos estos sucesos se recomiendan algunas medidas básicas de protección.

Pág. 6 de 14
 Seguridad y Alta disponibilidad

• Barreras físicas.
◦ Los servidores deberían estar cerrados con llaves y con acceso restringido.
◦ Controles de acceso con tarjeta y/o guardia de seguridad.
◦ En relación con el punto anterior a veces se llegan a utilizar mecanismos biométricos.
◦ Puertas con apertura programada.
• Protección eléctrica.
◦ Protección ante fallos de cableado. Uso de dispositivos como un Bond (no confundir con
brigde que actúa a nivel 2 del modelo OSI que permite redirigir paquetes)

◦ Instalaciones eléctricas adecuadas y protección contra subida o bajada de tensión.

◦ Instalaciones de grupos electrógenos industriales o SAI (ver apartado siguiente)
• Protección contra humedades. Un CPD debe moverse entre 45-55% de humedad. Se pueden
instalar sensores y sistemas de climatización avanzados.
• Protección contra incendios y altas temperaturas.
◦ Material ignífugo, puertas cortafuegos, extintores de CO2, detectores de humo. Sistemas de
refrigeración para mantener temperatura por debajo de 25ºC.
◦ Uso de dispositivos como ventiladores para armario rack, armarios de seguridad ignífugos
para copias de seguridad.
• Protección contra desastres naturales como inundaciones , terremotos, etc.

3.1.1 Sistemas de alimentación ininterrumpida (SAI)

Los SAI tienen especial relevancia debido a su extendido uso. Un sistema de alimentación ininterrumpida
o SAI protege contra problemas eléctricos comunes que pueden afectar al funcionamiento normal de un
sistema informático.

• Bajadas de tensión. Produce daños a largo plazo.

• Interrupciones del suministro. Da lugar a perjuicios económicos.
• Subidas de tensión puntuales. Menores o iguales de 4 milisegundos y producen daños en
dias/semanas.
• Subidas de tensión sostenidas. Dura mas de 4 milisegundos y produce daños en escasos minutos
e instantáneos.

En líneas generales el parámetro principal que debemos mirar en un SAI es su «potencia aparente».
La potencia aparente de un SAI se mide en «voltio-amperios» o «kilo-voltio-amperios» o «KVA»
(también pronunciado como «kabeas» o «kivas»)

Lo que nos interesa es la potencia eficaz que se obtiene multiplicando la aparente por 0,75. En algunos
SAI nos indican el factor de potencia. En ese caso, sí podemos saber directamente la potencia eficaz
multiplicando la potencia aparente por ese factor.

Pot eficaz (Watios) = Pot. apar (VA) Factor de pot.

Supongamos un SAI en el que la caja simplemente indica 2000VA (o 2KVAS). Si no nos dicen nada,
asumiremos que en realidad ese SAI ofrece 2000*0,75 = 1500 W

Pág. 7 de 14
 Seguridad y Alta disponibilidad

Si tuviésemos 3 ordenadores y cada uno consumiese 650W está claro que no podríamos conectar los 3.
Si un SAI se anuncia indicando que ofrece 1500KVA y 850W de potencia ¿qué factor de potencia ofrece?

Los 1500KVA son la «nominal/máxima/aparente»

Los 850W son la «eficaz/de salida»

Si Eficaz=Aparente * FdP entonces

FDP=Eficaz/aparente
FDP=850/1500

La importancia de las baterías

En los casos de los centros de datos, los SAI debe ir acompañado de sus respectivas baterías
(dependiendo de cada caso necesitará más o menos), y es ahí donde recae la importancia del SAI, ya que
a más baterías conectadas, más tiempo de autonomía tendrá el dispositivo.

Según el Ponemon Institute (Michigan, Estados Unidos) publicado en 2021, una de las principales causas
de los períodos de inactividad de los centros de datos fueron los fallos en las baterías.

En el estudio se explica que una celda que se encuentre en mal estado en un banco de baterías puede
comprometer todo el sistema de respaldo de un centro de datos durante un corte eléctrico.

Dado que las baterías de los SAIs son importantes y al mismo tiempo tan vulnerable a problemas y fallos,
es fundamental que las empresas realicen mantenimiento y revisiones de forma periódica.

Lo primero que debes saber es que las baterías que se utilizan en los SAI deben ser reemplazadas cada
cierto tiempo y aunque los fabricantes cifran dicho recambio en los 3 años, se debe de entender que dicha
fecha puede variar desentendiendo de varios factores.

Uno de estos factores es la temperatura. Por regla general un SAI no debe exceder los 25ºC. A partir de
ahí una mayor temperatura se traducirá a una pérdida de la longevidad de la vida útil de la batería, por lo
tanto se debe mantener el SAI en un lugar fresco, seco.

Es importante también no sobrecargar el SAI, lo razonable es que la carga nunca exceda el 80% de su
capacidad. Por ejemplo tenemos un SAI de 400 vatios, no le conectemos equipos que consuman más de
320 vatios.

Pág. 8 de 14
 Seguridad y Alta disponibilidad

Por último, debes de tener en cuenta que la vida de las baterías disminuye si no están en funcionamiento,
de manera que, si el SAI está almacenado sin ser usado, se aconseja cargar y descargar las baterías
periódicamente. Además a pesar de que la mayoría de los SAI incorporan sistemas de auto calibración, es
recomendable no realizar este proceso más de una vez al año.

3.1.2 Seguridad lógica.

Este punto se irá desarrollando a lo largo del curso. Implica restringir el acceso a datos en función de la
persona que lo intente:

• Claves de acceso.
• Tarjetas de identificación.
• Copias de seguridad.
• Listas de control de acceso.
• Control horario.
• Roles.
• Cortafuegos.
• Distribución de carga.
• Redundancia de sistemas

4. Análisis forense de sistemas informáticos

El análisis forense de sistemas informáticos es una parte crucial de la seguridad y la alta disponibilidad en
entornos tecnológicos. Consiste en la investigación y recopilación de pruebas digitales para comprender y
resolver incidentes de seguridad, como intrusiones, ataques cibernéticos y actividades maliciosas en
sistemas informáticos. El análisis forense, se puede realizar dentro de una auditoria de seguridad a
modo preventivo. Si se ha producido un ataque hay que tener en cuenta los siguientes puntos:

• Recopilación de evidencia: El análisis forense comienza con la recopilación de evidencia digital

de sistemas, dispositivos y redes afectados. Esto incluye la obtención de copias exactas de discos
duros, registros de eventos, archivos (principalmente logs) y cualquier otro dato relevante.

• Preservación de la integridad: Es fundamental preservar la integridad de la evidencia recopilada

para garantizar que no se modifique ni se dañe de ninguna manera. Esto se logra mediante la
creación de imágenes forenses y el uso de herramientas y técnicas especializadas.

• Análisis de evidencia: Los investigadores forenses analizan minuciosamente la evidencia

recopilada para identificar cómo se produjo un incidente de seguridad, qué datos se vieron
afectados y quiénes podrían haber estado involucrados. Esto implica el examen de registros de
eventos, registros de acceso y cualquier otro dato relevante.

• Reconstrucción de eventos: Con la evidencia en mano, se procede a la reconstrucción de los

eventos que llevaron al incidente de seguridad. Esto permite comprender la secuencia de
acciones realizadas por los atacantes y cómo afectaron al sistema.

• Identificación de vulnerabilidades: El análisis forense también busca identificar las

vulnerabilidades que podrían haber sido explotadas durante el incidente. Esto ayuda a fortalecer
la seguridad y prevenir futuros ataques similares.

• Informes forenses: Los resultados del análisis forense se documentan en informes forenses que
son utilizados para presentar pruebas en investigaciones legales o internas. Estos informes deben
ser precisos, detallados y claros.

• Cumplimiento normativo: En muchos casos, el análisis forense es necesario para cumplir con
regulaciones y leyes relacionadas con la seguridad de los datos y la privacidad, como el
Reglamento General de Protección de Datos (GDPR) en la Unión Europea o la Ley de
Privacidad y Protección de Datos de California (CCPA) en los Estados Unidos.

Pág. 9 de 14
 Seguridad y Alta disponibilidad

• Prevención y mejora continua: El análisis forense no solo se trata de investigar incidentes

pasados, sino también de utilizar los hallazgos para fortalecer las medidas de seguridad y la alta
disponibilidad de sistemas informáticos. Esto incluye la implementación de controles adicionales
y la mejora de las políticas de seguridad.

En resumen, el análisis forense de sistemas informáticos desempeña un papel esencial en la seguridad y la

alta disponibilidad al investigar y comprender los incidentes de seguridad, identificar vulnerabilidades y
garantizar el cumplimiento normativo. Además, contribuye a la mejora continua de la seguridad
cibernética en organizaciones y sistemas críticos.

4.1 Auditoría de Seguridad

Supone una fase inicial en el proceso de implantación de medidas de seguridad activas (que requieren de
intervención humana). Una vez realizado el informe la empresa deberá decidir las medidas a tomar .

El contenido mínimo de un informe de seguridad según la norma IS0 19011 “Directrices de auditoría de
Sistemas de Gestión”. La norma ISO 19011 establece las directrices para llevar a cabo auditorías de
sistemas de gestión, incluidos los sistemas de gestión de seguridad de la información (SGSI) basados en
la norma ISO 27001. Aunque la norma ISO 19011 proporciona pautas generales para la elaboración de
informes de auditoría, no prescribe un formato específico para el informe. Sin embargo, aquí te
proporciono un resumen de los elementos que se deben considerar al crear un informe de seguridad
basado en la norma ISO 19011:

• Título y Identificación del Informe:

◦ Nombre del informe de auditoría.
◦ Número de informe (si es aplicable).
◦ Fecha de emisión del informe.

• Objetivo y alcance:
◦ Descripción breve del alcance y objetivo de la auditoría.
◦ Mención de las normas o criterios utilizados para la auditoría.

• Detalles de la Auditoría:
◦ Información sobre el equipo de auditoría, incluyendo nombres y roles de los auditores.
◦ Fechas y duración de la auditoría.
◦ Áreas o procesos auditados.

• Criterios de Auditoría. Mención de los criterios de auditoría, que pueden incluir referencias a
normas, políticas internas, regulaciones, etc.

• Metodología de Auditoría. Descripción de la metodología utilizada en la auditoría,

incluyendo las técnicas de recolección de evidencia, como entrevistas, revisión de
documentos, pruebas técnicas, etc.

• Hallazgos de Auditoría. Resumen de los hallazgos significativos de la auditoría, incluyendo

observaciones, no conformidades y puntos fuertes identificados. Los hallazgos deben ser
claros y específicos, indicando dónde se encontraron problemas y proporcionando evidencia
de apoyo.

• Evaluación de Conformidad. Evaluación de si el sistema auditado cumple con los criterios de

auditoría. Puede incluir una descripción de los niveles de conformidad, como "cumplimiento
total", "cumplimiento parcial" o "no conformidad".

• Conclusiones de la Auditoría. Conclusiones generales sobre el estado del sistema auditado.

Puede incluir una evaluación general de la efectividad del SGSI.

• Recomendaciones y Acciones Correctivas. Recomendaciones específicas para abordar los

hallazgos de la auditoría. Acciones correctivas propuestas, junto con un cronograma para su
implementación.

Pág. 10 de 14
 Seguridad y Alta disponibilidad

• Aprobación y Firma. Firma del auditor líder o equipo de auditoría y aprobación por parte de la
dirección de la organización.

• Anexos (si es necesario). Cualquier documentación adicional que respalde los hallazgos y
las recomendaciones, como registros de auditoría, evidencia fotográfica, etc.

Recuerda que la norma ISO 19011 enfatiza la importancia de que el informe de auditoría sea claro,
completo y preciso. Además, el informe debe estar diseñado para ser comprensible tanto para el equipo de
auditoría como para la dirección de la organización auditada. El formato y el contenido exactos del
informe pueden variar según las necesidades específicas de la auditoría y la organización.

4.2 Fases del análisis forense

El análisis forense de sistemas informáticos sigue un proceso estructurado que consta de varias fases.
Estas fases proporcionan un marco para llevar a cabo investigaciones efectivas y garantizar la integridad
de la evidencia digital. Aquí están las fases típicas del análisis forense de sistemas informáticos:

• Fase de Preparación:
◦ Definir el alcance de la investigación.
◦ Identificar los recursos necesarios, como herramientas forenses y personal.
◦ Asegurarse de que se tomen medidas para preservar la evidencia, como asegurar el acceso
físico a los sistemas involucrados.

• Fase de Adquisición de Evidencia:

◦ Recopilar y preservar la evidencia digital de manera forense. Esto incluye crear copias bit a
bit de discos duros, dispositivos de almacenamiento u otros medios. Y todos los ficheros log
de cortafuegos, sistema operativo, correos, etc.
◦ Documentar la cadena de custodia, asegurando un registro detallado de quién tuvo acceso a
la evidencia en todo momento.

• Fase de Análisis:
◦ Examinar la evidencia digital recopilada. Esto puede incluir la búsqueda de archivos,
registros, metadatos y cualquier otro dato relevante.
◦ Identificar patrones y artefactos que puedan indicar actividades maliciosas o inusuales.
◦ Reconstruir secuencias de eventos para comprender cómo se produjo el incidente.

• Fase de Identificación de Resultados:

◦ Identificar y documentar los hallazgos clave, incluyendo cualquier evidencia de actividad
maliciosa, intrusiones o violaciones de seguridad.
◦ Clasificar los hallazgos como hechos, observaciones o interpretaciones.

• Fase de Documentación:
◦ Crear informes forenses detallados que resuman los hallazgos y las conclusiones de la
investigación.
◦ Asegurarse de que los informes sean claros, precisos y adecuados para su presentación en un
entorno legal si es necesario.

• Fase de Presentación:
◦ Presentar los resultados y hallazgos a las partes interesadas, que pueden incluir la dirección
de la organización, abogados o fuerzas del orden público si la investigación es de naturaleza
criminal.

• Fase de Acciones Correctivas y Preventivas:

◦ Basado en los hallazgos, recomendar y, en algunos casos, tomar medidas correctivas para
abordar las vulnerabilidades o deficiencias identificadas.
◦ Desarrollar e implementar medidas preventivas para evitar futuros incidentes similares.

• Fase de Cierre:

Pág. 11 de 14
 Seguridad y Alta disponibilidad

◦ Finalizar la investigación y asegurarse de que todos los informes y documentación estén

archivados adecuadamente.
◦ Evaluar la efectividad de las medidas correctivas y preventivas implementadas.

• Fase de Revisión:
◦ Realizar una revisión posterior a la auditoría para evaluar la eficacia del proceso de análisis
forense y buscar oportunidades de mejora.

Es importante destacar que el análisis forense de sistemas informáticos debe llevarse a cabo con cuidado,
siguiendo procedimientos estrictos para garantizar la integridad de la evidencia y la legalidad de la
investigación, especialmente si se espera que los resultados sean utilizados en procedimientos legales o
judiciales.

4.2.1 Herramientas

La elección de las mejores herramientas de análisis forense, ya sean de código abierto o de pago, depende
en gran medida de las necesidades específicas de la investigación, el sistema operativo involucrado y el
presupuesto disponible. A continuación, se mencionan algunas de las herramientas más destacadas, que
incluyen opciones tanto de código abierto como de pago:

Herramientas de Código Abierto:

1. Autopsy: Es una interfaz gráfica de usuario (GUI) para The Sleuth Kit. Es ampliamente utilizada y es
conocida por su facilidad de uso y capacidades de análisis forense.

2. The Sleuth Kit (TSK): Ofrece una amplia gama de herramientas de línea de comandos para el análisis
forense de sistemas de archivos y discos.

3. Volatility: Es una herramienta líder en el análisis de memoria forense, especialmente útil para
examinar la memoria RAM de sistemas comprometidos.

4. Wireshark: Excelente para el análisis de tráfico de red y la identificación de actividades maliciosas en

el nivel de paquetes.

5. Plaso (log2timeline): Ayuda a la creación de líneas de tiempo de eventos forenses a partir de registros
de eventos de sistemas y otros datos de registro.

Herramientas de Pago:

1. EnCase: EnCase es una de las suites de análisis forense más conocidas y utilizadas en el mundo.
Ofrece una amplia gama de herramientas y características avanzadas para investigaciones forenses.

2. X-Ways Forensics: Es una herramienta de análisis forense altamente respetada que proporciona una
variedad de funciones avanzadas, incluida la recuperación de datos y el análisis de sistemas de archivos.

3. FTK (Forensic Toolkit): Desarrollado por AccessData, FTK es una herramienta integral que incluye
capacidades de análisis de disco, memoria y red, así como funciones avanzadas de búsqueda.

4. Nuix: Es una plataforma forense y de eDiscovery que ofrece análisis de datos forenses a gran escala y
capacidades avanzadas de descubrimiento electrónico.

5. Cellebrite UFED: Se especializa en la adquisición y el análisis de dispositivos móviles, incluyendo

teléfonos y tabletas.

6. Magnet AXIOM: Es una herramienta de análisis forense digital que abarca desde la adquisición de
datos hasta la generación de informes.

7. Paraben E3 Forensic Platform: Ofrece una variedad de herramientas forenses, incluyendo

adquisición de datos, análisis de memoria y análisis de dispositivos móviles.

Pág. 12 de 14
 Seguridad y Alta disponibilidad

8. BlackBag BlackLight: Diseñada para analizar sistemas Mac y dispositivos iOS, ofrece capacidades
avanzadas para investigaciones forenses en el ecosistema de Apple.

La elección de la mejor herramienta depende de factores como el tipo de caso, el sistema operativo
involucrado, el presupuesto y la experiencia del investigador forense. En muchos casos, los profesionales
utilizan una combinación de herramientas, tanto de código abierto como de pago, para obtener resultados
óptimos en sus investigaciones. También es importante asegurarse de que cualquier herramienta utilizada
cumpla con las leyes y regulaciones aplicables en el área de análisis forense.

4.2.2 Ficheros más comunes usados en auditorías

En una auditoría de seguridad, los auditores pueden revisar una amplia variedad de ficheros y registros
para evaluar la postura de seguridad de una organización y detectar posibles vulnerabilidades o riesgos. A
continuación, se mencionan algunos de los ficheros y registros más comunes que se utilizan en auditorías
de seguridad:

1. Registros de Eventos del Sistema (Logs): Estos registros contienen información sobre eventos y
actividades en sistemas y aplicaciones. Los tipos comunes de registros incluyen:
- Registros de eventos de Windows (Event Viewer).
- Registros de eventos de sistemas basados en Unix/Linux (syslog).
- Registros de eventos de aplicaciones y servicios.

2. Registros de Firewall y Registro de Acceso a Red: Estos registros registran el tráfico de red y las
actividades de firewall. Pueden ayudar a identificar intentos de intrusión y comportamientos anómalos en
la red.

3. Registros de Autenticación y Autorización: Estos registros contienen información sobre quién ha

accedido a sistemas, aplicaciones o recursos, así como las acciones que realizaron. Ejemplos incluyen:
- Registros de inicio de sesión de Windows.
- Registros de autenticación en servidores web.

4. Registros de Seguridad de Aplicaciones Web: En una auditoría de seguridad de aplicaciones web, se

revisan los registros de la aplicación web para detectar intentos de explotación, ataques de inyección
SQL, ataques de cross-site scripting (XSS) y otros ataques web.

5. Registros de Servidores de Correo Electrónico: Estos registros pueden ayudar a rastrear la actividad
de correo electrónico, como intentos de phishing o distribución de malware a través del correo
electrónico.

6. Registros de Bases de Datos: Los registros de bases de datos registran las consultas y actividades
realizadas en bases de datos. Pueden ayudar a identificar consultas maliciosas o inusuales.

7. Registros de Sistemas de Detección de Intrusos (IDS) e Intrusion Prevention Systems (IPS): Estos
registros registran eventos relacionados con la detección de intentos de intrusión y la respuesta a
amenazas. Pueden proporcionar información valiosa sobre actividades maliciosas.

8. Registros de Auditoría de Aplicaciones Empresariales: Muchas aplicaciones empresariales, como

sistemas de gestión de recursos empresariales (ERP), generan registros de auditoría que registran
actividades clave en la aplicación, como cambios en los datos financieros o de recursos humanos.

9. Registros de Seguridad Física: En algunas auditorías de seguridad, se pueden revisar registros de

seguridad física, como registros de acceso a edificios, cámaras de seguridad y sistemas de control de
acceso.

10. Registros de Acceso a Servidores y Estaciones de Trabajo: Estos registros registran quién accedió
a servidores y estaciones de trabajo, cuándo lo hicieron y qué acciones realizaron.

Pág. 13 de 14
 Seguridad y Alta disponibilidad

11. Registros de Acceso a Recursos en la Nube: Para organizaciones que utilizan servicios en la nube,
es importante revisar los registros de acceso y actividad en la nube, como registros de acceso a cuentas de
proveedores de servicios en la nube y registros de actividad de máquinas virtuales.

Estos son solo algunos ejemplos de los tipos de registros y ficheros que los auditores de seguridad pueden
revisar durante una auditoría. La elección de los registros específicos depende de los objetivos de la
auditoría y de la infraestructura tecnológica de la organización.

Pág. 14 de 14